轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件
原文始发于微信公众号(国网公司网络安全实验室):轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
聚合网络安全,存储安全技术文章,融合安全最新讯息
轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件
漏
洞
概
述
Sonar(SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持的语言包括:Java、PHP、C#、C、Cobol、PL/SQL、Flex 等。
SonarQube API 未授权访问漏洞,该漏洞编号CVE-2020-27986,此漏洞是由于SonarQube配置不当造成未授权访问,可以通过api/settings/values获取明文SMTP、SVN和Gitlab等敏感信息。
影
响
范
围
SonarQube所有版本。
排
查
方
法
更新轻量无损排查工具箱的插件库后,启用SonarQube-Unauthorized-CVE-2020-27986,对目标对象进行扫描。
解
决
方
案
1.补丁更新
目前SonarQube官方已发布最新安全版本,建议受影响的用户及时安装安全补丁或升级至最新安全版本。
原文始发于微信公众号(国网公司网络安全实验室):轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件
评论