SonarQube是一款開源的代碼質(zhì)量管理系統(tǒng),提供軟件代碼審計(jì)功能�����,在軟件開發(fā)企業(yè)使用較多。該系統(tǒng)在默認(rèn)配置下, 未對(duì)其API接口進(jìn)行任何訪問控制����,導(dǎo)致可不經(jīng)認(rèn)證通過互聯(lián)網(wǎng)下載該系統(tǒng)審計(jì)過的程序源代碼。另外�����,該系統(tǒng)默認(rèn)管理員憑據(jù)是弱口令����,如未更改,極易被利用來直接登錄獲得該系統(tǒng)審計(jì)過的源代碼�����。
請(qǐng)各單位全面排查����,自身以及項(xiàng)目承包商或軟件提供商是否采用SonarQube做軟件質(zhì)量管理����,是否因默認(rèn)配置而受漏洞影響����,并組織及時(shí)開展漏洞修補(bǔ)����、風(fēng)險(xiǎn)防范工作,以免發(fā)生源代碼等項(xiàng)目重要資產(chǎn)失竊的安全事件�。
處置建議:
1.更改默認(rèn)設(shè)置,包括更改默認(rèn)的管理員用戶名���、口令(避免弱口令)和端口���;
2.將SonarQube部署于內(nèi)網(wǎng)環(huán)境并通過防火墻等進(jìn)行訪問控制,禁止未經(jīng)驗(yàn)證的訪問���。
參考資料:
SonarQube存在弱口令漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2021-24935
SonarSource SonarQube身份驗(yàn)證繞過漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2020-64784
SonarSource SonarQube信息泄露漏洞(CNVD-2020-64787)https://www.cnvd.org.cn/flaw/show/CNVD-2020-64787
