近日,国家信息安全漏洞共享平台(CNVD)收录了 SonarQube 系统未授权访问漏洞(CNVD-2021-84502)。攻击者利用该漏洞,可在未授权的情况下获取敏感代码数据,目前,漏洞利用细节已公开,SonarQube 公司也已发布补丁修复该漏洞。
关于 SonarQube
SonarQube 是一个开源代码质量管理和分析审计平台,支持包括 Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy 等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过 SonarQube Web 界面进行呈现。
漏洞细节
SonarQube 系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。但由于 SonarQube 缺少对API接口访问的鉴权控制,导致平台项目暴露在公网当中,攻击者可以利用该漏洞访问公网 API 接口,使用系统默认配置口令进入SonarQube平台,下载源代码文件,获取系统内的敏感信息,造成项目数据泄露。近日,境外媒体相继爆料多起源代码泄露事件,涉及我国多个机构和企业的 SonarQub e代码审计平台,详情可见此前报导的网传 SonarQube 平台漏洞被利用,大量源码泄露事件,此事件正是出于此漏洞。
此漏洞主要影响的是 SonarQube 8.6 以下的版本,CNVD 对该漏洞的综合评级为“高危”,。目前,SonarQube公司已发布新版本修复该漏洞,CNVD 建议用户尽快进行自查,并及时升级至最新版本,同时可根据业务情况,加设或调整部署于公网的系统访问策略。
猜你喜欢:暂无回复。
