CVE-2024-32474

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-32474
Sentry is an error tracking and performance monitoring platform. Prior to 24.4.1, when authenticating as a superuser to Sentry with a username and password, the password is leaked as cleartext in logs under the _event_: `auth-index.validate_superuser`. An attacker with access to the log data could use these leaked credentials to login to the Sentry system as superuser. Self-hosted users on affected versions should upgrade to 24.4.1 or later. Users can configure the logging level to exclude logs of the `INFO` level and only generate logs for levels at `WARNING` or more.

7.3 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.1 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/getsentry/sentry/commit/d5b34568d9f1c41362ccb62141532a0a2169512f
https://github.com/getsentry/sentry/pull/66393
https://github.com/getsentry/sentry/pull/69148
https://github.com/getsentry/sentry/security/advisories/GHSA-6cjm-4pxw-7xp9
Configurations

No configuration.

History

19 Apr 2024, 13:10

Type Values Removed Values Added
Summary
  • (es) Sentry es una plataforma de seguimiento de errores y supervisión del rendimiento. Antes de 24.4.1, al autenticarse como superusuario en Sentry con un nombre de usuario y contraseña, la contraseña se filtraba como texto plano en los registros bajo el _event_: `auth-index.validate_superuser`. Un atacante con acceso a los datos de registro podría utilizar estas credenciales filtradas para iniciar sesión en el sistema Sentry como superusuario. Los usuarios autohospedados de las versiones afectadas deben actualizar a 24.4.1 o posterior. Los usuarios pueden configurar el nivel de registro para excluir registros del nivel "INFO" y solo generar registros para niveles en "ADVERTENCIA" o más.

18 Apr 2024, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-04-18 20:15

Updated : 2024-04-19 13:10

NVD link : CVE-2024-32474

Mitre link : CVE-2024-32474

CVE.ORG link : CVE-2024-32474

JSON object : View

Products Affected

No product.

CWE
CWE-117

Improper Output Neutralization for Logs

CWE-312

Cleartext Storage of Sensitive Information