SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告

SonarQube系统在默认配置下，会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞，可在未授权的情况下通过访问上述API接口，获取SonarQube平台上的程序源代码，构成项目源代码数据泄露风险。腾讯安全专家建议受影响的用户将SonarQube升级到最新版本。

漏洞描述

SonarQube系统在默认配置下，会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞，可在未授权的情况下通过访问上述API接口，获取SonarQube平台上的程序源代码，构成项目源代码数据泄露风险。

SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意：据报道，供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。

该漏洞为2020年10月披露，近期发现较多境外媒体爆料多起源代码泄露事件，涉及我国多个机构和企业的SonarQube代码审计平台。

SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余种编程语言的代码质量管理，可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测，并将结果通过SonarQube Web界面进行呈现。

受影响的版本

SonarQube < 8.6

安全版本

SonarQube >=8.6

漏洞修复建议

腾讯安全专家建议受影响的用户将SonarQube升级到最新版本。