關于SonarQube系統存在未授權訪問漏洞的安全公告

安全公告編號:CNTA-2021-0031

2021年11月5日，國家信息安全漏洞共享平臺（CNVD）收錄了SonarQube系統未授權訪問漏洞（CNVD-2021-84502）。攻擊者利用該漏洞，可在未授權的情況下獲取敏感代碼數據。目前，漏洞利用細節已公開，SonarQube公司已發布補丁修復該漏洞。CNVD建議受影響用戶盡快更新至最新版本避免漏洞攻擊威脅。

一、漏洞情況分析

SonarQube是一個開源代碼質量管理和分析審計平臺，支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余種編程語言的代碼質量管理，可以對項目中的重復代碼、程序錯誤、編寫規范、安全漏洞等問題進行檢測，并將結果通過SonarQube Web界面進行呈現。

近日，境外媒體相繼爆料多起源代碼泄露事件，涉及我國多個機構和企業的SonarQube代碼審計平臺。SonarQube系統在默認配置下，會將通過審計的源代碼上傳至SonarQube平臺。由于SonarQube缺少對API接口訪問的鑒權控制，攻擊者利用該漏洞，可在未授權的情況下通過訪問上述API接口，獲取SonarQube平臺上的程序源代碼，構成項目源代碼數據泄露風險。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括：

SonarQube < 8.6

三、漏洞處置建議

目前， SonarQube公司已發布新版本修復該漏洞，CNVD建議用戶盡快進行自查，并及時升級至最新版本，同時可根據業務情況，加設或調整部署于公網的系統訪問策略。 

附參考鏈接：

https://docs.sonarqube.org/latest/setup/get-started-2-minutes/

https://blog.sonarsource.com/public-response-code-leaks 

感謝CNVD技術組支撐單位——北京知道創宇信息技術股份有限公司和北京安天網絡安全技術有限公司為本報告提供的技術支持。