SSRF in Sentry via Phabricator integration (CVE-2024-24829)
CVE编号
CVE-2024-24829利用情况
暂无补丁情况
N/A披露时间
2024-02-09漏洞描述
Sentry是一个错误跟踪和性能监测平台。Sentry的集成平台提供了一种外部服务与Sentry交互的方式。其中一个集成插件是Sentry维护的Phabricator集成插件,版本号<=24.1.1存在受限SSRF漏洞。攻击者可以通过向Phabricator集成插件提供未经过滤的输入,使Sentry发送POST HTTP请求到任意URL(包括内部IP地址)。然而,请求的payload受到特定格式的限制。如果攻击者能够访问Sentry实例,则可以:1.与内部网络进行交互;2.扫描本地/远程端口。该漏洞已在Sentry自托管版本24.1.2中修复,并于2月8日在sentry.io上得到缓解。建议用户升级。目前没有已知的该漏洞的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/getsentry/self-hosted/releases/tag/24.1.2 | |
| https://github.com/getsentry/sentry/pull/64882 | |
| https://github.com/getsentry/sentry/security/advisories/GHSA-rqxh-fp9p-p98r |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-918 | 服务端请求伪造(SSRF) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论