SonarQube 未授权访问漏洞

 漏洞资讯     |      2021-11-16

一、   漏洞描述

未授权的攻击者可利用 SonarQube 平台配置不当问题访问 api/settings/values,从而获得明文 SMTP、程序源代码等敏感数据。

二、   漏洞详情

CVE-2020-27986  : SONARQUBE 未授权访问漏洞

CVE: CVE-2020-27986  

组件:  SONARQUBE

漏洞类型: 代码问题

影响: 明文 SMTP、程序源代码等敏感数据泄露

简述: 见漏洞描述

三、   影响版本

组件

影响产品或系统版本

安全版本

SONARQUBE

SonarQube < 8.6

大于受影响版本

四、   安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布升级修复漏洞,用户请尽快升级

补丁名称:SONARQUBE 未授权访问漏洞补丁

https://blog.sonarsource.com/public-response-code-leaks