流行的錯誤跟蹤和性能監(jiān)控平臺 Sentry 最近修補了一個漏洞，該漏洞可能允許攻擊者劫持用戶賬戶。

該關鍵漏洞在 Sentry 的安全斷言標記語言 (SAML) 單點登錄 (SSO) 實現(xiàn)中被發(fā)現(xiàn)，被追蹤為 CVE-2025-22146，CVSS 得分為 9.1。利用該漏洞，惡意行為者可以冒充共享 Sentry 實例上的任何用戶。

“在 Sentry 的 SAML SSO 實現(xiàn)中發(fā)現(xiàn)了一個關鍵漏洞。該漏洞是通過我們的私人漏洞懸賞計劃報告給我們的?！?/p>

該漏洞源于 SAML SSO 過程中的不當身份驗證。攻擊者利用惡意的 SAML 身份提供者并以駐留在同一 Sentry 實例上的組織為目標，只要知道受害者的電子郵件地址，就可以接管該組織內(nèi)的任何用戶賬戶。

Sentry 已通過發(fā)布 25.1.0 版解決了該漏洞。我們敦促自托管 Sentry 實例的用戶升級到該版本或更高版本，以降低風險。Sentry SaaS 用戶已受到保護，因為修復程序已于 2025 年 1 月 14 日部署。

SAML SSO 雖然旨在簡化用戶訪問，但如果實施不當也會帶來安全風險。使用 SAML SSO 的組織應確保其實施符合安全最佳實踐，并定期進行漏洞審核。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/