当前位置:首页  网络安全  安全公告

【风险提示】关于开源代码质量管理系统SonarQube未授权访问漏洞的风险提示

时间:2021-10-26   浏览:1650   作者:

SonarQube是一款开源的代码质量管理系统,提供软件代码审计功能,在软件开发企业使用较多。该系统在默认配置下, 未对其API接口进行任何访问控制,导致可不经认证通过互联网下载该系统审计过的程序源代码。另外,该系统默认管理员凭据是弱口令,如未更改,极易被利用来直接登录获得该系统审计过的源代码。

请各单位全面排查,自身以及项目承包商或软件提供商是否采用SonarQube做软件质量管理,是否因默认配置而受漏洞影响,并组织及时开展漏洞修补、风险防范工作,以免发生源代码等项目重要资产失窃的安全事件。


处置建议:

1.更改默认设置,包括更改默认的管理员用户名、口令(避免弱口令)和端口;

2.将SonarQube部署于内网环境并通过防火墙等进行访问控制,禁止未经验证的访问。


参考资料:

  1. SonarQube存在弱口令漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2021-24935

  2. SonarSource SonarQube身份验证绕过漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2020-64784

  3. SonarSource SonarQube信息泄露漏洞(CNVD-2020-64787)https://www.cnvd.org.cn/flaw/show/CNVD-2020-64787