CVE-2024-53253

Sentry versão 24.11.0

O Sentry é uma plataforma de rastreamento de erros e monitoramento de desempenho. Uma mensagem de erro específica gerada pela plataforma Sentry poderia incluir um ID de cliente e um segredo de cliente em texto simples para uma integração de aplicativo. Isso poderia ocorrer sob certas condições, incluindo o uso de um componente de interface de usuário de pesquisa com o sinalizador async definido como verdadeiro, um usuário digitando no componente de pesquisa e uma resposta de terceiros falhando na validação, resultando no código de erro select-requester.invalid-response. O ID do cliente e o segredo do cliente não seriam exibidos na interface do usuário, mas seriam retornados na resposta HTTP subjacente ao usuário final. Para que o segredo fosse usado indevidamente, um invasor também precisaria obter um token de API válido para um aplicativo Sentry. Os usuários do Sentry SaaS não precisam tomar nenhuma medida, pois apenas uma única integração de aplicativo foi afetada e o proprietário já alterou seu segredo do cliente, sem que tenha ocorrido qualquer uso indevido do segredo do cliente vazado.

Para usuários do Sentry auto-hospedado, atualize para a versão 24.11.1 ou superior para resolver o problema. Como alternativa, os usuários auto-hospedados podem considerar o downgrade para a versão 24.10.0, caso já estejam executando a versão afetada. Como solução temporária, considere revisar o arquivo select requester.py em busca de instâncias em que o erro possa ser gerado e procurar pelo evento select-requester.invalid-response para identificar possíveis exposições.