SonarQube api 未授權訪問(CVE-2020-27986)漏洞風險通告

SonarQube系統在默認配置下，會將通過審計的源代碼上傳至SonarQube平臺。由于SonarQube缺少對API接口訪問的鑒權控制。攻擊者利用該漏洞，可在未授權的情況下通過訪問上述API接口，獲取SonarQube平臺上的程序源代碼，構成項目源代碼數據泄露風險。騰訊安全專家建議受影響的用戶將SonarQube升級到最新版本。

漏洞描述

SonarQube系統在默認配置下，會將通過審計的源代碼上傳至SonarQube平臺。由于SonarQube缺少對API接口訪問的鑒權控制。攻擊者利用該漏洞，可在未授權的情況下通過訪問上述API接口，獲取SonarQube平臺上的程序源代碼，構成項目源代碼數據泄露風險。

SonarQube 8.4.2.36762 允許遠程攻擊者通過 api/settings/values URI 發現明文 SMTP、SVN 和 GitLab 憑據。注意：據報道，供應商對 SMTP 和 SVN 的立場是“配置它是管理員的責任”。

該漏洞為2020年10月披露，近期發現較多境外媒體爆料多起源代碼泄露事件，涉及我國多個機構和企業的SonarQube代碼審計平臺。

SonarQube是一個開源代碼質量管理和分析審計平臺,支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余種編程語言的代碼質量管理，可以對項目中的重復代碼、程序錯誤、編寫規范、安全漏洞等問題進行檢測，并將結果通過SonarQube Web界面進行呈現。

受影響的版本

SonarQube < 8.6

安全版本

SonarQube >=8.6

漏洞修復建議

騰訊安全專家建議受影響的用戶將SonarQube升級到最新版本。