IT资讯 CNVD 公布 SonarQube 系统的未授权访问漏洞

vincent · 2021-11-20 10:00:17 · 热度: 163

近日,国家信息安全漏洞共享平台(CNVD)收录了 SonarQube 系统未授权访问漏洞(CNVD-2021-84502)。攻击者利用该漏洞,可在未授权的情况下获取敏感代码数据,目前,漏洞利用细节已公开,SonarQube 公司也已发布补丁修复该漏洞。

CNVD 公布 SonarQube 系统的未授权访问漏洞

关于 SonarQube

SonarQube 是一个开源代码质量管理和分析审计平台,支持包括 Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy 等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过 SonarQube Web 界面进行呈现。

漏洞细节

SonarQube 系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。但由于 SonarQube 缺少对API接口访问的鉴权控制导致平台项目暴露在公网当中,攻击者可以利用该漏洞访问公网 API 接口,使用系统默认配置口令进入SonarQube平台,下载源代码文件,获取系统内的敏感信息,造成项目数据泄露近日,境外媒体相继爆料多起源代码泄露事件,涉及我国多个机构和企业的 SonarQub e代码审计平台,详情可见此前报导的网传 SonarQube 平台漏洞被利用,大量源码泄露事件,此事件正是出于此漏洞。

此漏洞主要影响的是 SonarQube  8.6 以下的版本,CNVD 对该漏洞的综合评级为“高危”,。目前,SonarQube公司已发布新版本修复该漏洞,CNVD 建议用户尽快进行自查,并及时升级至最新版本,同时可根据业务情况,加设或调整部署于公网的系统访问策略。

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册