CVE-2025-65944:Sentry SDK在 sendDefaultPii 设置为 true 时泄露敏感头信息
漏洞详情
摘要
在10.11.0版本中,SDK在Node.js应用程序中收集请求数据方式的更改,导致某些传入的HTTP头被添加为跟踪跨度(trace span)属性。当sendDefaultPii: true被设置时,一些之前被编辑掉的头信息——包括Authorization和Cookie——被无意中允许通过。
Sentry服务器端的擦除(由Sentry的Relay边缘代理处理)通常作为第二层保护。然而,由于它依赖于与SDK相同的匹配逻辑,在这种情况下也无法捕获这些头信息。
影响范围
如果满足以下条件,用户可能会受到影响:
- 他们的Sentry SDK配置中设置了
sendDefaultPii为true。 - 他们的应用程序使用了Node.js Sentry SDK,版本从10.11.0到10.26.0(含)。
受影响的软件包包括:
@sentry/astro
@sentry/aws-serverless
@sentry/bun
@sentry/google-cloud-serverless
@sentry/nestjs
@sentry/nextjs
@sentry/node
@sentry/node-core
@sentry/nuxt
@sentry/remix
@sentry/solidstart
@sentry/sveltekit
用户可以通过访问 Explore → Traces 并搜索 “http.request.header.authorization”、“http.request.header.cookie” 或类似内容来检查其项目是否受到影响。任何潜在的敏感值都将特定于用户的应用和配置。
补丁与解决方案
补丁 该问题已在所有从10.27.0版本开始的Sentry JavaScript SDK中得到修复。
变通方案 Sentry强烈建议客户将SDK升级到最新的可用版本,即10.27.0或更高版本。
如果无法升级,考虑将sendDefaultPii设置为false以避免无意中发送敏感头信息。相关文档参见此处。
技术信息
严重程度: 中等 CVSS 总分: 5.1 弱点分类: CWE-201 - 向发送的数据中插入敏感信息