SonarQube 未授權(quán)訪問漏洞

 漏洞資訊     |      2021-11-16

一、   漏洞描述

未授權(quán)的攻擊者可利用 SonarQube 平臺配置不當(dāng)問題訪問 api/settings/values,從而獲得明文 SMTP、程序源代碼等敏感數(shù)據(jù)。

二、   漏洞詳情

CVE-2020-27986  : SONARQUBE 未授權(quán)訪問漏洞

CVE: CVE-2020-27986  

組件:  SONARQUBE

漏洞類型: 代碼問題

影響: 明文 SMTP、程序源代碼等敏感數(shù)據(jù)泄露

簡述: 見漏洞描述

三、   影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

SONARQUBE

SonarQube < 8.6

大于受影響版本

四、   安全版本

見三

五、  安全建議

通用修補建議:

廠商已發(fā)布升級修復(fù)漏洞,用戶請盡快升級

補丁名稱:SONARQUBE 未授權(quán)訪問漏洞補丁

https://blog.sonarsource.com/public-response-code-leaks