CVE-2025-22146 (CVSS 9.1): 关键哨兵漏洞允许账户接管
流行的错误跟踪和性能监控平台 Sentry 最近修补了一个漏洞,该漏洞可能允许攻击者劫持用户账户。
该关键漏洞在 Sentry 的安全断言标记语言 (SAML) 单点登录 (SSO) 实现中被发现,被追踪为 CVE-2025-22146,CVSS 得分为 9.1。利用该漏洞,恶意行为者可以冒充共享 Sentry 实例上的任何用户。
“在 Sentry 的 SAML SSO 实现中发现了一个关键漏洞。该漏洞是通过我们的私人漏洞悬赏计划报告给我们的。”
该漏洞源于 SAML SSO 过程中的不当身份验证。攻击者利用恶意的 SAML 身份提供者并以驻留在同一 Sentry 实例上的组织为目标,只要知道受害者的电子邮件地址,就可以接管该组织内的任何用户账户。
Sentry 已通过发布 25.1.0 版解决了该漏洞。我们敦促自托管 Sentry 实例的用户升级到该版本或更高版本,以降低风险。Sentry SaaS 用户已受到保护,因为修复程序已于 2025 年 1 月 14 日部署。
SAML SSO 虽然旨在简化用户访问,但如果实施不当也会带来安全风险。使用 SAML SSO 的组织应确保其实施符合安全最佳实践,并定期进行漏洞审核。
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号随时掌握互联网精彩
- 美元兑人民币汇率2025年2月5日
- Vtiger CRM:一款适用于中小企业的开源客户关系管理软件
- 封测三巨头押注Chiplet
- 【杂谈快报】苹果将降低部分员工奖金发放频率 扩大冻结招聘的范围;芯片出口连跌6个月 韩国仍投资300万亿韩元
- 美国半导体行业协会轮值主席、高通公司总裁兼CEO安蒙:半导体行业助力构建可持续发展的未来
- 历史上的今天:苹果推出Mac OS X;Spring 1.0 正式发布;微软前任 CEO 出生
- Apple Car 还没问世,苹果已先将 iPhone 拉入汽车战场?
- 统信软件&无锡先进技术研究院:开启战略合作新篇章
- 显卡缺货!一线大厂表示无解:今年还得提价
- 因为这件事,新华社关注了→统信
- 三个锦囊:剖析 5G 安全难题
- VIP被弹专属广告?爱奇艺还有更神奇的操作
微信扫码关注公众号