Sentry敏感标头泄漏漏洞分析 (CVE-2025-65944)

漏洞详情

影响

当使用Sentry SDK的Node.js应用程序配置 sendDefaultPii: true 时，可能会无意中将某些敏感的HTTP标头（包括Cookie标头）发送到Sentry。这些标头将作为关联跟踪数据的一部分存储在该Sentry组织内。有权访问该Sentry组织的个人随后可以查看并使用这些敏感值，以在用户应用程序中模拟身份或提升权限。

如果满足以下条件，用户可能会受到影响：

1. Sentry SDK配置中 sendDefaultPii 设置为 true。
2. 应用程序使用的Node.js Sentry SDK版本介于10.11.0至10.26.0之间（包含两端版本），具体包括：
   • @sentry/astro
   • @sentry/aws-serverless
   • @sentry/bun
   • @sentry/google-cloud-serverless
   • @sentry/nestjs
   • @sentry/nextjs
   • @sentry/node
   • @sentry/node-core
   • @sentry/nuxt
   • @sentry/remix
   • @sentry/solidstart
   • @sentry/sveltekit

用户可以通过访问 Explore → Traces 并搜索 “http.request.header.authorization”、“http.request.header.cookie” 或类似内容来检查其项目是否受影响。任何潜在的敏感值将特定于用户的应用程序和配置。

补丁

此问题已在所有从10.27.0版本开始的Sentry JavaScript SDK中修复。

临时解决方案

Sentry强烈建议客户将SDK升级到最新的可用版本（10.27.0或更高版本）。

如果无法升级，请考虑将 sendDefaultPii 设置为 false，以避免无意中发送敏感标头。相关文档请参见此处。

资源

• Sentry SDK数据处理的预期功能 - 敏感数据

• sentry-javascript 10.11.0 版本发布说明

• Sentry Node.js指南 - 收集的数据：Cookies

参考链接

• GHSA-6465-jgvq-jhgp

• sentry-javascript 发布版本列表

• sentry-javascript 10.27.0 版本发布说明

安全评分与信息

严重程度

中等

CVSS 总体分数

5.1 / 10

CVSS v4 基本指标

• 攻击向量 (AV): 网络 (Network)
• 攻击复杂度 (AC): 低 (Low)
• 攻击先决条件 (AT): 存在 (Present)
• 所需权限 (PR): 高 (High)
• 用户交互 (UI): 无 (None)
• 受影响系统的机密性影响 (VC): 无 (None)
• 受影响系统的完整性影响 (VI): 无 (None)
• 受影响系统的可用性影响 (VA): 无 (None)
• 后续系统的机密性影响 (SC): 高 (High)
• 后续系统的完整性影响 (SI): 低 (Low)
• 后续系统的可用性影响 (SA): 低 (Low)

向量字符串: CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:L/SA:L

弱点 (CWE)

• CWE-201: 在发送的数据中插入敏感信息 - 代码将数据传输给另一个参与者，但数据的一部分包含了不应被该参与者访问的敏感信息。