重要！這個Sonarqube高危漏洞千萬要當心

0x01 漏洞描述

SonarQube是一個開源代碼質量管理和分析審計平臺,支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余種編程語言的代碼質量管理，可以對項目中的重復代碼、程序錯誤、編寫規范、安全漏洞等問題進行檢測，并將結果通過SonarQube Web界面進行呈現。

2021年11月15日，360漏洞云團隊監測到SonarQube 未授權訪問漏洞在野利用的消息 。漏洞編號：CVE-2020-27986，漏洞威脅等級：高危，漏洞評分：7.5。

該漏洞是由于SonarQube缺少對API接口訪問的鑒權控制，攻擊者利用該漏洞，可在未授權的情況下通過訪問上述API接口，獲取SonarQube平臺上的程序源代碼，構成項目源代碼數據泄露風險。

早在2021年10月25日，360漏洞云就已檢測到外網存在攻擊者利用Sonarqube零日漏洞獲取Bosch iSite源代碼的新聞，該新聞稱攻擊者利用未知漏洞滲透了Bosch iSite的服務器，造成Bosch iSite網站源代碼泄露，近日，境外媒體相繼爆料多起源代碼泄露事件，涉及我國多個機構和企業的SonarQube代碼審計平臺。。

360漏洞云安全專家已在漏洞云平臺發布該漏洞的poc，請自行查看。

0x02 危害等級

高危：7.5

0x03 影響版本

SonarQube < 8.6

0x04 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本：

SonarQube >=8.6

與此同時，360漏洞云提醒您請做好資產自查以及預防工作，以免遭受黑客攻擊。