一、 漏洞描述
未授权的攻击者可利用 SonarQube 平台配置不当问题访问 api/settings/values,从而获得明文 SMTP、程序源代码等敏感数据。
二、 漏洞详情
CVE-2020-27986 : SONARQUBE 未授权访问漏洞
CVE: CVE-2020-27986
组件: SONARQUBE
漏洞类型: 代码问题
影响: 明文 SMTP、程序源代码等敏感数据泄露
简述: 见漏洞描述
三、 影响版本
组件 | 影响产品或系统版本 | 安全版本 |
SONARQUBE | SonarQube < 8.6 | 大于受影响版本 |
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商已发布升级修复漏洞,用户请尽快升级
补丁名称:SONARQUBE 未授权访问漏洞补丁
https://blog.sonarsource.com/public-response-code-leaks