sonarqube系统存在未授权访问漏洞预警-k8凯发天生赢家一触即发人生

近日，国家信息安全漏洞共享平台（cnvd）发布了《关于sonarqube系统存在未授权访问漏洞的安全公告》（cnta-2021-0031），对sonarqube系统未授权访问漏洞（cnvd-2021-84502）作出预警，攻击者利用该漏洞，可在未授权的情况下获取敏感代码数据。目前，漏洞利用细节已公开，sonarqube公司已发布补丁修复该漏洞。cnvd建议受影响用户尽快更新至最新版本避免漏洞攻击威胁。

一、基本情况

sonarqube是一个开源代码质量管理和分析审计平台,支持包括java,c#,c/c ,pl/sql,cobol,javascript,groovy等二十余种编程语言的代码质量管理，可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测，并将结果通过sonarqubeweb界面进行呈现。

近日，境外媒体相继曝料多起源代码泄露事件，涉及我国多个机构和企业的sonarqube代码审计平台。sonarqube系统在默认配置下，会将通过审计的源代码上传至sonarqube平台。由于sonarqube缺少对api接口访问的鉴权控制，攻击者利用该漏洞，可在未授权的情况下通过访问上述api接口，获取sonarqube平台上的程序源代码，构成项目源代码数据泄露风险。

cnvd对该漏洞的综合评级为“高危”。

二、影响分析

漏洞影响的产品版本包括：

sonarqube<8.6

三、处置建议

目前，sonarqube公司已发布新版本修复该漏洞，cnvd建议用户尽快进行自查，并及时升级至最新版本，同时可根据业务情况，加设或调整部署于公网的系统访问策略。

四、参考链接

https://www.cnvd.org.cn/flaw/show/cnvd-2021-84502

https://www.cnvd.org.cn/webinfo/show/7041