老洞考古|CVE-2020-27986|POC

前言

佛系更新，请的新的两位编辑不给力，现在研究一下最近比较火的漏洞，听说影响还比较大

概述

SonarSource SonarQube是瑞士SonarSource公司的一套开源的代码质量管理系统。SonarQube 8.4.2.36762版本存在安全漏洞，攻击者可利用该漏洞通过api设置值URI发现明文SMTP、SVN和GitLab凭证。

SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意：据报道，供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。

该漏洞为2020年10月披露，近期发现较多境外媒体爆料多起源代码泄露事件，涉及我国多个机构和企业的SonarQube代码审计平台。

SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余种编程语言的代码质量管理，可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测，并将结果通过SonarQube Web界面进行呈现。

复现

环境搭建

直接从官网下载地址如下：

社区版

https://binaries.sonarsource.com/Distribution/sonarqube/

企业版

https://binaries.sonarsource.com/CommercialDistribution/sonarqube-enterprise/

开发版

https://binaries.sonarsource.com/CommercialDistribution/sonarqube-developer/

数据中心

https://binaries.sonarsource.com/CommercialDistribution/sonarqube-datacenter/

1636994618910

双击启动（前提是要安装好java的环境）

1636994814718

访问本地9000端口。

可以看到启动成功

1636995257261

直接访问 查看一下未授权访问的内容

访问可以看到很多未授权的信息

http://192.168.44.205:9000/api/settings/values

1636995324634

还有接口泄露的地址

http://192.168.44.205:9000/api/webservices/list

1636995398956

exp

从网上找了一个检测的工具

CVE-2020-27986

修复方案

危害性极高，听说老外已经获取了中国的很多数据，有用到这个服务的人赶紧更新啊，，，，，，

下面是参考链接

（1）https://blog.sonarsource.com/public-response-code-leaks

（2）https://docs.sonarqube.org/latest/setup/get-started-2-minutes/