【初级】SonarQube API信息泄露漏洞

CVE-2020-27986

漏洞描述:该漏洞是由于SonarQube缺少对于API访问权限的验证,恶意攻击者可以在不经过身份验证的情况下访问API接口,通过遍历其配置信息从而获得SonarQube平台上保存的程序源代码,最终导致敏感信息泄露风险。此外,暴露的端口通过与漏洞CVE-2020-28002结合,还可以上传任意文件,危害较大。该漏洞已经成功造成多起恶意事件。

影响版本:SonarQube < 8.6

POC:

api/settings/values
api/webservices/list

漏洞复现

图片[1]-【初级】SonarQube API信息泄露漏洞-NGC660 安全实验室
图片[2]-【初级】SonarQube API信息泄露漏洞-NGC660 安全实验室
© 版权声明
THE END
喜欢就支持一下吧
点赞13赏点小钱 分享