漏洞概述 在Sentry的2.2.0版本中,存在一个安全漏洞,允许项目成员通过UUID访问其他项目的某些问题列表批量操作和问题事件视图。此外,源映射和调试文件ID被全局解析,可能导致一个项目中的事件上传另一个项目的调试元数据。 影响范围 问题列表批量操作:项目成员可以访问其他项目的问题列表批量操作。 问题事件视图:项目成员可以访问其他项目的问题事件视图。 源映射和调试文件:源映射和调试文件ID被全局解析,可能导致一个项目中的事件上传另一个项目的调试元数据。 修复方案 1. 问题列表批量操作和问题事件视图: - 修复了问题列表批量操作和问题事件视图的权限问题,确保只有授权的项目/问题才能访问。 - 相关GHSA链接:GHSA-g5vc-q7gc-v939,GHSA-vx2t-6m6h-9frf 2. 源映射和调试文件: - 修复了源映射和调试文件ID的全局解析问题,确保新上传的文件存储项目特定的信息和查找。 - 相关GHSA链接:GHSA-5389-f7vh-ww8 升级建议 源映射上传应包含有意义的源映射slug。现有的未作用域源映射将继续工作,但安装程序可以选择删除回退并重新上传带有项目slug的源映射。 代码块 页面中未包含POC代码或利用代码。