重要！这个Sonarqube高危漏洞千万要当心

0x01 漏洞描述

SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余种编程语言的代码质量管理，可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测，并将结果通过SonarQube Web界面进行呈现。

2021年11月15日，360漏洞云团队监测到SonarQube 未授权访问漏洞在野利用的消息 。漏洞编号：CVE-2020-27986，漏洞威胁等级：高危，漏洞评分：7.5。

该漏洞是由于SonarQube缺少对API接口访问的鉴权控制，攻击者利用该漏洞，可在未授权的情况下通过访问上述API接口，获取SonarQube平台上的程序源代码，构成项目源代码数据泄露风险。

早在2021年10月25日，360漏洞云就已检测到外网存在攻击者利用Sonarqube零日漏洞获取Bosch iSite源代码的新闻，该新闻称攻击者利用未知漏洞渗透了Bosch iSite的服务器，造成Bosch iSite网站源代码泄露，近日，境外媒体相继爆料多起源代码泄露事件，涉及我国多个机构和企业的SonarQube代码审计平台。。

360漏洞云安全专家已在漏洞云平台发布该漏洞的poc，请自行查看。

0x02 危害等级

高危：7.5

0x03 影响版本

SonarQube < 8.6

0x04 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本：

SonarQube >=8.6

与此同时，360漏洞云提醒您请做好资产自查以及预防工作，以免遭受黑客攻击。