网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


CNVD 公布 SonarQube 系统的未授权访问漏洞

2021-11-20 15:41 推荐: 浏览: 72 字号:

摘要: 近日,国家信息安全漏洞共享平台(CNVD)收录了 SonarQube 系统未授权访问漏洞(CNVD-2021-84502)。攻击者利用该漏洞,可在未授权的情况下获取敏感代码数据,目前,漏洞利用细节已公开,SonarQube 公司也已发布补丁修复该漏洞。 关于...

近日,国家信息安全漏洞共享平台(CNVD)收录了 SonarQube 系统未授权访问漏洞(CNVD-2021-84502)。攻击者利用该漏洞,可在未授权的情况下获取敏感代码数据,目前,漏洞利用细节已公开,SonarQube 公司也已发布补丁修复该漏洞。

CNVD 公布 SonarQube 系统的未授权访问漏洞

关于 SonarQube

SonarQube 是一个开源代码质量管理和分析审计平台,支持包括 Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy 等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过 SonarQube Web 界面进行呈现。

漏洞细节

SonarQube 系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。但由于 SonarQube 缺少对API接口访问的鉴权控制,导致平台项目暴露在公网当中,攻击者可以利用该漏洞访问公网 API 接口,使用系统默认配置口令进入SonarQube平台,下载源代码文件,获取系统内的敏感信息,造成项目数据泄露。近日,境外媒体相继爆料多起源代码泄露事件,涉及我国多个机构和企业的 SonarQub e代码审计平台,详情可见此前报导的网传 SonarQube 平台漏洞被利用,大量源码泄露事件,此事件正是出于此漏洞。

此漏洞主要影响的是 SonarQube  8.6 以下的版本,CNVD 对该漏洞的综合评级为“高危”,。目前,SonarQube公司已发布新版本修复该漏洞,CNVD 建议用户尽快进行自查,并及时升级至最新版本,同时可根据业务情况,加设或调整部署于公网的系统访问策略。

稿源:https://www.oschina.net/news/169892/sonarqube-api-vulnerability

联系站长租广告位!

中国首席信息安全官