一、基本情况
Sentry是一个开源的实时事件日志监控、记录和聚合平台,主要用于如何快速发现故障。Sentry-javascript提供适用于JavaScript的Sentry SDK,如Next.js SDK等。
二、漏洞描述
Sentry Next.js SDK中修复了一个服务器端请求伪造漏洞(CVE-2023-46729),当启用了Sentry Next.js SDK隧道功能时,由于对Next.js SDK隧道端点的输入未经清理,导致可以将HTTP请求发送到任意URL并返回响应,造成服务器端请求伪造漏洞。成功利用该漏洞可能导致XSS、CSRF漏洞攻击、获取内部网络信息等。
三、影响范围
@sentry/nextjs:7.26.0 <=Next.js SDK版本< 7.77.0
四、修复建议
目前该漏洞已经修复,受影响用户可升级到sentry/nextjs版本>=7.77.0。
