SonarQube 未授權(quán)訪問(wèn)漏洞

 漏洞資訊     |      2021-11-16

一、   漏洞描述

未授權(quán)的攻擊者可利用 SonarQube 平臺(tái)配置不當(dāng)問(wèn)題訪問(wèn) api/settings/values,從而獲得明文 SMTP、程序源代碼等敏感數(shù)據(jù)。

二、   漏洞詳情

CVE-2020-27986  : SONARQUBE 未授權(quán)訪問(wèn)漏洞

CVE: CVE-2020-27986  

組件:  SONARQUBE

漏洞類型: 代碼問(wèn)題

影響: 明文 SMTP、程序源代碼等敏感數(shù)據(jù)泄露

簡(jiǎn)述: 見(jiàn)漏洞描述

三、   影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

SONARQUBE

SonarQube < 8.6

大于受影響版本

四、   安全版本

見(jiàn)三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布升級(jí)修復(fù)漏洞,用戶請(qǐng)盡快升級(jí)

補(bǔ)丁名稱:SONARQUBE 未授權(quán)訪問(wèn)漏洞補(bǔ)丁

https://blog.sonarsource.com/public-response-code-leaks