哨兵中警报规则静音授权不当(CVE-2024-45606)
CVE编号
CVE-2024-45606利用情况
暂无补丁情况
N/A披露时间
2024-09-18漏洞描述
Sentry是一个面向开发者的错误跟踪和性能监控平台。经过身份验证的用户可以使用已知的规则ID来静音任意组织或项目的警报规则,而无需成为组织成员或在项目上具有权限。在我们的审查中,没有发现未经授权方静音警报的情况。已发布了一个补丁,以确保在静音警报规则的请求上正确范围地进行了授权检查。没有必要权限的经过身份验证的用户将不再能够静音警报。对于Sentry SaaS用户,无需采取任何行动。Self-Hosted Sentry用户应升级到版本** 24.9.0**或更高版本。规则静音功能自23.6.0起一般可用,但早期访问的用户可能自23.4.0起就已拥有此功能。建议受影响用户升级到版本24.9.0。对于此漏洞,没有已知的解决方法。解决建议
"将组件 sentry 升级至 24.9.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/getsentry/self-hosted | |
| https://github.com/getsentry/sentry/pull/77016 | |
| https://github.com/getsentry/sentry/security/advisories/GHSA-v345-w9f2-mpm5 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-639 | 通过用户控制密钥绕过授权机制 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论