漏洞详情
影响
当使用 Sentry SDK 的 Node.js 应用程序将配置 sendDefaultPii 设置为 true 时,可能无意中将某些敏感的 HTTP 标头(包括 Cookie 标头)发送给 Sentry。这些标头将作为相关追踪的一部分,存储在 Sentry 组织内。有权访问该 Sentry 组织的用户随后可以查看并利用这些敏感值,在用户应用程序中实施冒充或权限提升。
如果满足以下条件,用户可能会受到影响:
- Sentry SDK 配置中的
sendDefaultPii设置为true - 应用程序使用了版本在 10.11.0 至 10.26.0(包含)之间的 Node.js Sentry SDK,具体包括:
@sentry/astro@sentry/aws-serverless@sentry/bun@sentry/google-cloud-serverless@sentry/nestjs@sentry/nextjs@sentry/node@sentry/node-core@sentry/nuxt@sentry/remix@sentry/solidstart@sentry/sveltekit
用户可以通过访问 Explore → Traces 并搜索 "http.request.header.authorization"、"http.request.header.cookie" 或类似内容来检查其项目是否受到影响。任何潜在的敏感值将因用户的应用程序和配置而异。
补丁
此问题已在所有从 10.27.0 版本开始的 Sentry JavaScript SDK 中得到修复。
临时解决方案
Sentry 强烈建议客户将 SDK 升级到最新可用版本,即 10.27.0 或更高版本。
如果无法升级,请考虑将 sendDefaultPii 设置为 false 以避免无意中发送敏感标头。相关文档可参见 此处。
资源
严重性
- 等级: 中危
- CVSS 总体评分: 5.1 / 10
相关标识符
- CVE ID: CVE-2025-65944
- GHSA ID: GHSA-6465-jgvq-jhgp
受影响版本及已修复版本
| 包名 (npm) | 受影响版本 | 已修复版本 |
|---|---|---|
| @sentry/astro | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/aws-serverless | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/bun | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/google-cloud-serverless | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/nestjs | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/nextjs | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/node | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/node-core | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/nuxt | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/remix | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/solidstart | >= 10.11.0, < 10.27.0 | 10.27.0 |
| @sentry/sveltekit | >= 10.11.0, < 10.27.0 | 10.27.0 |