关于Sentry Next.js服务器端请求伪造漏洞(CVE-2023-46729)的预警提示

发布者:jsut发布时间:2023-11-13浏览次数:450

一、漏洞详情

Sentry是一个开源的实时事件日志监控、记录和聚合平台,主要用于如何快速发现故障。Sentry-javascript提供适用于JavaScriptSentry SDK,如Next.js SDK等。

近日,监测到 Sentry Next.js SDK中修复了一个服务器端请求伪造漏洞(CVE-2023-46729),当启用了Sentry Next.js SDK隧道功能时,由于对Next.js SDK隧道端点的输入未经清理,导致可以将HTTP请求发送到任意URL并返回响应,造成服务器端请求伪造漏洞。成功利用该漏洞可能导致XSSCSRF漏洞攻击、获取内部网络信息等。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

@sentry/nextjs7.26.0 <=Next.js SDK版本< 7.77.0

三、修复建议

目前该漏洞已经修复,受影响用户可升级到sentry/nextjs版本>=7.77.0