Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08616

Опубликовано: 20 янв. 2023
Источник: fstec
CVSS3: 7.6
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость программного обеспечения для создания отчетов о сбоях в режиме реального времени Sentry связана с вставкой конфиденциальной информации в отправляемые данные. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации

Вендор

ООО «Ред Софт»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Sentry

Версия ПО

7.3 (РЕД ОС)
до 1.14.0 (Sentry)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Sentry:
https://github.com/getsentry/sentry-python/security/advisories/GHSA-29pr-6jr8-q5jm
https://github.com/getsentry/sentry-python/releases/tag/1.14.0
https://github.com/getsentry/sentry-python/pull/1842
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.0014
Низкий

7.6 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-28117

CVSS3: 7.6
ubuntu
больше 2 лет назад

Sentry SDK is the official Python SDK for Sentry, real-time crash reporting software. When using the Django integration of versions prior to 1.14.0 of the Sentry SDK in a specific configuration it is possible to leak sensitive cookies values, including the session cookie to Sentry. These sensitive cookies could then be used by someone with access to your Sentry issues to impersonate or escalate their privileges within your application. In order for these sensitive values to be leaked, the Sentry SDK configuration must have `sendDefaultPII` set to `True`; one must use a custom name for either `SESSION_COOKIE_NAME` or `CSRF_COOKIE_NAME` in one's Django settings; and one must not be configured in one's organization or project settings to use Sentry's data scrubbing features to account for the custom cookie names. As of version 1.14.0, the Django integration of the `sentry-sdk` will detect the custom cookie names based on one's Django settings and will remove the values from the payload...

nvd логотип

CVE-2023-28117

CVSS3: 7.6
nvd
больше 2 лет назад

Sentry SDK is the official Python SDK for Sentry, real-time crash reporting software. When using the Django integration of versions prior to 1.14.0 of the Sentry SDK in a specific configuration it is possible to leak sensitive cookies values, including the session cookie to Sentry. These sensitive cookies could then be used by someone with access to your Sentry issues to impersonate or escalate their privileges within your application. In order for these sensitive values to be leaked, the Sentry SDK configuration must have `sendDefaultPII` set to `True`; one must use a custom name for either `SESSION_COOKIE_NAME` or `CSRF_COOKIE_NAME` in one's Django settings; and one must not be configured in one's organization or project settings to use Sentry's data scrubbing features to account for the custom cookie names. As of version 1.14.0, the Django integration of the `sentry-sdk` will detect the custom cookie names based on one's Django settings and will remove the values from the payload

redos логотип

ROS-20241021-05

CVSS3: 6.5
redos
10 месяцев назад

Уязвимость python3-sentry-sdk

github логотип

GHSA-29pr-6jr8-q5jm

CVSS3: 7.6
github
больше 2 лет назад

Sentry SDK leaks sensitive session information when `sendDefaultPII` is set to `True`

EPSS

Процентиль: 35%
0.0014
Низкий

7.6 High

CVSS3

7.5 High

CVSS2