PT-2024-29485 · Sentry · Sentry
Stsewd
·
Publicado
2024-07-23
·
Atualizado
2024-07-24
·
CVE-2024-41656
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Sentry de 10.0.0 a 24.7.0
Descrição
A vulnerabilidade permite que uma carga não sanitizada enviada por uma integração da plataforma de integração armazene tags HTML arbitrárias no lado do Sentry, que poderiam ser renderizadas na página de Issues. Isso cria uma vulnerabilidade de Stored Cross-Site Scripting (XSS), podendo levar à execução de scripts arbitrários no contexto do navegador do usuário. Usuários do Sentry auto-hospedado podem ser afetados se integrações não confiáveis da plataforma de integração enviarem issues externos para sua instância do Sentry.
Recomendações
Para usuários com Sentry auto-hospedado, atualize o Sentry para a versão mais recente.
Se a atualização não for possível, habilite o CSP na instalação auto-hospedada com
CSP REPORT ONLY = False (modo de imposição) para mitigar o risco de cross-site scripting.Para clientes do Sentry SaaS, nenhuma ação é necessária, pois a vulnerabilidade já foi corrigida.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sentry