Vulnerabilidad en Sentry (CVE-2024-53253)

Sentry es una plataforma de seguimiento de errores y monitoreo de rendimiento. La versión 24.11.0, y solo la versión 24.11.0, es vulnerable a un escenario en el que un mensaje de error específico generado por la plataforma Sentry podría incluir un ID de cliente y un secreto de cliente en texto plano para una integración de aplicaciones. El ID de cliente y el secreto de cliente no se mostrarían en la interfaz de usuario, pero se devolverían en la respuesta HTTP subyacente al usuario final. Esto podría ocurrir en las siguientes condiciones: una instalación de aplicación hizo uso de un componente de interfaz de usuario de búsqueda con el indicador `async` establecido en verdadero (valor predeterminado: verdadero); un usuario escribe en el componente de búsqueda que crea una solicitud al tercero para obtener resultados de búsqueda o consulta; y esa respuesta de terceros puede fallar en la validación y Sentry devolvería el código de error `select-requester.invalid-response` junto con una versión serializada de una aplicación Sentry que contiene el secreto de cliente de integración. Si se encuentra este error, es razonable suponer la posible exposición de un secreto de cliente de integración. Sin embargo, un par de ID y secreto por sí solo no proporciona acceso directo a ningún dato. Para que se abuse de ese secreto, un atacante también necesitaría obtener un token de API válido para una aplicación Sentry. Los usuarios de Sentry SaaS no necesitan realizar ninguna acción. Para los usuarios de Sentry SaaS, solo se vio afectada una única integración de aplicación y el propietario ha rotado su secreto de cliente. No se ha producido ningún abuso del secreto de cliente filtrado. Al momento de la publicación, hay una solución disponible para los usuarios de Sentry autoalojado en la solicitud de extracción 81038. Sentry autoalojado no se envía con ninguna integración de aplicaciones. Esto solo podría afectar a los usuarios autoalojados que mantienen sus propias integraciones. En ese caso, busque un evento `select-requester.invalid-response`. Tenga en cuenta que este error también se compartió con otro evento no relacionado con este aviso, por lo que los usuarios autoalojados de Sentry también deberán revisar los parámetros registrados para cada evento nombrado. Los usuarios autoalojados de Sentry pueden revisar `select_requester.py` para las instancias en las que se pueden generar estos errores. Con la solución de seguridad, este ya no es un tipo de evento compartido. Los usuarios alojados en Sentry no pueden instalar la versión 24.11.0 y, en su lugar, esperar a la próxima versión. Las instancias alojadas en Sentry que ya estén ejecutando la versión afectada pueden considerar la posibilidad de actualizar a la versión 24.10.0.