轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件

2023年1月9日02:17:15评论82 views字数 503阅读1分40秒阅读模式

轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件

漏

洞

概

述

Sonar（SonarQube）是一个开源平台，用于管理源代码的质量。Sonar 不只是一个质量数据报告工具，更是代码质量管理平台。支持的语言包括：Java、PHP、C#、C、Cobol、PL/SQL、Flex 等。

SonarQube API 未授权访问漏洞，该漏洞编号CVE-2020-27986，此漏洞是由于SonarQube配置不当造成未授权访问，可以通过api/settings/values获取明文SMTP、SVN和Gitlab等敏感信息。

影

响

范

围

SonarQube所有版本。

排

查

方

法

更新轻量无损排查工具箱的插件库后，启用SonarQube-Unauthorized-CVE-2020-27986，对目标对象进行扫描。

解

决

方

案

1.补丁更新

目前SonarQube官方已发布最新安全版本，建议受影响的用户及时安装安全补丁或升级至最新安全版本。

原文始发于微信公众号（国网公司网络安全实验室）：轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

XG_NTAI: Webshell免杀、流量加密传输工具 V2.5