一、漏洞详情

Sentry是一个开源的实时事件日志监控、记录和聚合平台，主要用于如何快速发现故障。Sentry-javascript提供适用于JavaScript的Sentry SDK，如Next.js SDK等。

近日，监测到 Sentry Next.js SDK中修复了一个服务器端请求伪造漏洞（CVE-2023-46729），当启用了Sentry Next.js SDK隧道功能时，由于对Next.js SDK隧道端点的输入未经清理，导致可以将HTTP请求发送到任意URL并返回响应，造成服务器端请求伪造漏洞。成功利用该漏洞可能导致XSS、CSRF漏洞攻击、获取内部网络信息等。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

@sentry/nextjs：7.26.0 <=Next.js SDK版本< 7.77.0

三、修复建议

目前该漏洞已经修复，受影响用户可升级到sentry/nextjs版本>=7.77.0。