CVE-2024-35196

Versões do Sentry anteriores à 24.5.0

A integração do Sentry com o Slack registra incorretamente o corpo da solicitação recebida nos logs, o que pode conter informações confidenciais, incluindo o token de verificação do Slack, que está obsoleto. Esse token pode ser usado por um invasor para falsificar solicitações e agir como a integração do Slack em configurações específicas. O corpo da solicitação é vazado em entradas de log que correspondem a event == “slack.*” && name == “sentry.integrations.slack” && request data == *, com o token de verificação do Slack obsoleto encontrado na chave request data.token.

Para usuários com hospedagem própria, atualize para a versão 24.5.0 ou superior, altere o token de verificação do Slack e use o Segredo de Assinatura do Slack em vez do token de verificação.

Como solução temporária, defina slack.signing-secret em vez de slack.verification-token para impedir o uso do token de verificação para autenticação.

Como alternativa, ajuste a configuração de registro para não gerar logs da integração, redirecionando os logs para um manipulador nulo e impedindo a geração de logs em níveis inferiores. Os serviços devem ser reiniciados assim que a alteração na configuração for salva.