Asottile

**Nome do software vulnerável e versões afetadas** Versões do Sentry anteriores à 24.5.0 **Descrição** A integração do Sentry com o Slack registra incorretamente o corpo da solicitação recebida nos logs, o que pode conter informações confidenciais, incluindo o token de verificação do Slack, que está obsoleto. Esse token pode ser usado por um invasor para falsificar solicitações e agir como a integração do Slack em configurações específicas. O corpo da solicitação é vazado em entradas de log que correspondem a `event == “slack.*” && name == “sentry.integrations.slack” && request data == *`, com o token de verificação do Slack obsoleto encontrado na chave `request data.token`. **Recomendações** Para usuários com hospedagem própria, atualize para a versão 24.5.0 ou superior, altere o token de verificação do Slack e use o Segredo de Assinatura do Slack em vez do token de verificação. Como solução temporária, defina `slack.signing-secret` em vez de `slack.verification-token` para impedir o uso do token de verificação para autenticação. Como alternativa, ajuste a configuração de registro para não gerar logs da integração, redirecionando os logs para um manipulador nulo e impedindo a geração de logs em níveis inferiores. Os serviços devem ser reiniciados assim que a alteração na configuração for salva.