PT-2024-28964 · Unknown+2 · Sentry Sdk+2
Kmichel-Aiven
·
Publicado
2024-07-08
·
Atualizado
2026-01-22
·
CVE-2024-40647
CVSS v3.1
5.3
Média
| Vetor | AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do sentry-sdk anteriores à 2.8.0
Descrição
Um bug no sentry-sdk permite que variáveis de ambiente sejam passadas para subprocessos, apesar da configuração
env={}. Nas chamadas subprocess do Python, todas as variáveis de ambiente são passadas para subprocessos por padrão. No entanto, se você especificamente não quiser que elas sejam passadas para subprocessos, pode usar o argumento env nas chamadas subprocess. Devido ao bug no sentry-sdk, com a integração Stdlib habilitada, essa expectativa não é atendida, e todas as variáveis de ambiente estão sendo passadas para subprocessos.Recomendações
Para resolver o problema, atualize para a versão 2.8.0 ou posterior do sentry-sdk.
Como solução temporária, considere substituir
env={} por um dicionário mínimo, como env={“EMPTY ENV”:“1”}, ou desative a integração com a Stdlib removendo sentry sdk.integrations.stdlib.StdlibIntegration de sentry sdk.integrations. DEFAULT INTEGRATIONS antes de inicializar o sentry sdk.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Red Os
Sentry Sdk