企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    SonarQube是一个开源代码质量管理和分析审计平台，早期版本的SonarQube存在默认安全配置相关的问题，未经身份验证的攻击者可以通过访问某些API获取到明文的SMTP、SVN和GitLab凭据，利用这些泄露的信息可能导致攻击者非授权访问到软件源代码。

    该漏洞在2020年10月被披露，编号为CVE-2020-27986，但厂商对此漏洞持有异议，认为是使用者的配置错误。

    近日，奇安信CERT已监测到利用上述SonarQube信息泄露漏洞的在野利用攻击，但与近期网传多个国内重要单位所使用软件的疑似源码泄露事件无关。

    当前漏洞状态

    漏洞描述

    SonarQube是一个开源代码质量管理和分析审计平台，早期版本的SonarQube存在默认安全配置相关的问题，未经身份验证的攻击者可以通过访问某些API获取到明文的SMTP、SVN和GitLab凭据，利用这些泄露的信息可能导致攻击者非授权访问到软件源代码。

    该漏洞在2020年10月被披露，编号为CVE-2020-27986，但厂商对此漏洞持有异议，认为是使用者的配置错误。

    近日，奇安信CERT已监测到利用上述SonarQube信息泄露漏洞的在野利用攻击，但与近期网传多个国内重要单位所使用软件的疑似源码泄露事件无关。

    1、CVE-2020-27986SonarQube远程信息泄露漏洞

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    已知影响SonarQube

    处置建议

    处置建议：将SonarQube升级到最新版。

    https://github.com/SonarSource/sonarqube/releases

    参考资料

    [1]https://csl.com.co/sonarqube-auditando-al-auditor-parte-i/

    [2]https://nox.qianxin.com/vulnerability/detail/79258

    时间线

    2021年11月15日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员