7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到于2020年10月批漏的SonarQube api 未授权访问漏洞,近期被较多境外媒体爆料多起源代码泄露事件。该漏洞是因为SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。
【受影响版本】
SonarQube < 8.6
【安全版本】
SonarQube >=8.6
SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。
Copyright 2009-2022 HKBGP Network
