聲明：該文章來自（安全客）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

流行的錯誤跟蹤和性能監(jiān)控平臺 Sentry 最近修補了一個漏洞，該漏洞可能允許攻擊者劫持用戶賬戶。

該關(guān)鍵漏洞在 Sentry 的安全斷言標(biāo)記語言 (SAML) 單點登錄 (SSO) 實現(xiàn)中被發(fā)現(xiàn)，被追蹤為 CVE-2025-22146，CVSS 得分為 9.1。利用該漏洞，惡意行為者可以冒充共享 Sentry 實例上的任何用戶。

“在 Sentry 的 SAML SSO 實現(xiàn)中發(fā)現(xiàn)了一個關(guān)鍵漏洞。該漏洞是通過我們的私人漏洞懸賞計劃報告給我們的。”

該漏洞源于 SAML SSO 過程中的不當(dāng)身份驗證。攻擊者利用惡意的 SAML 身份提供者并以駐留在同一 Sentry 實例上的組織為目標(biāo)，只要知道受害者的電子郵件地址，就可以接管該組織內(nèi)的任何用戶賬戶。

Sentry 已通過發(fā)布 25.1.0 版解決了該漏洞。我們敦促自托管 Sentry 實例的用戶升級到該版本或更高版本，以降低風(fēng)險。Sentry SaaS 用戶已受到保護，因為修復(fù)程序已于 2025 年 1 月 14 日部署。

SAML SSO 雖然旨在簡化用戶訪問，但如果實施不當(dāng)也會帶來安全風(fēng)險。使用 SAML SSO 的組織應(yīng)確保其實施符合安全最佳實踐，并定期進行漏洞審核。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/