PT-2025-27554 · Sentry+1 · Sentry+1
Rakesh0X7
·
Publicado
2025-07-01
·
Atualizado
2026-01-22
·
CVE-2025-53099
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Sentry anteriores à 25.5.0
Descrição:
O problema permite que um atacante com uma aplicação OAuth maliciosa registrada no Sentry aproveite uma condição de corrida e o tratamento inadequado do código de autorização dentro do Sentry, mantendo persistência na conta de um usuário. Isso pode ser alcançado por meio de solicitações com temporização específica e fluxos de redirecionamento, gerando múltiplos códigos de autorização que podem ser usados para trocar por tokens de acesso e de atualização, mesmo após desautorizar a aplicação específica.
Recomendações:
Para usuários do Sentry auto-hospedado, atualize para a versão 25.5.0 ou superior.
Para usuários do Sentry SaaS, nenhuma ação é necessária.
Exploit
Correção
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Red Os
Sentry