关键漏洞信息 漏洞详情 漏洞名称: ReDoS in Sentry's Astro SDK 发布日期: Dec 18, 2023 CVE ID: CVE-2023-50249 漏洞类型: ReDoS (正则表达式拒绝服务) 影响范围 受影响版本: >=7.78.0, <7.87.0 修复版本: 7.87.0 漏洞描述 在Sentry's Astro SDK 7.78.0-7.86.0版本中发现了ReDoS漏洞。在特定条件下,该漏洞允许攻击者导致服务器上的计算时间过多,从而导致拒绝服务(DoS)。 影响的应用 1. 使用Sentry instrumentation的应用: - 手动注册Sentry Middleware(受影响版本7.78.0-7.86.0) - 配置了在SSR或混合模式下使用的Astro 3.5.0或更新版本,并未禁用自动服务器端开销(受影响版本7.82.0-7.86.0) 2. 配置了至少两个路径参数的路由(例如 ) 修复措施 问题已经在 版本中修复,对应的PR为 #9815。 临时缓解措施 强烈建议升级到最新SDK版本。如果无法升级,可采取以下措施缓解漏洞影响: 如果使用Astro 3.5.0或更新版本,禁用自动开销。 移除手动添加的Sentry middleware(如果之前已添加)。 参考资料 Sentry Docs: Manual Setup for Astro Release Notes: sentry-javascript 7.87.0 npm: @sentry/astro@7.87.0