## Sentry Node.js SDK 安全漏洞：HTTP 请求头泄露风险 (CVE-2025-65944)
Sentry 的 Node.js SDK 曝出安全漏洞，可能导致敏感 HTTP 请求头数据被意外捕获并泄露。该漏洞源于 SDK 在收集请求数据时的逻辑变更，特定传入的 HTTP 头信息会被错误地添加为追踪跨度（trace span）的属性。这意味着，如果应用程序使用了受影响的 Sentry SDK 版本进行错误监控和性能追踪，原本不应暴露的客户端请求头信息可能被记录并发送至 Sentry 服务端。

具体而言，漏洞编号为 CVE-2025-65944，影响自 10.11.0 版本开始的 Sentry Node.js SDK。问题核心在于 SDK 在处理 Node.js 应用的传入 HTTP 请求时，未能正确过滤或脱敏某些头部字段，而是将其直接附加到分布式追踪的 span 属性中。这为潜在的敏感信息泄露创造了条件，例如身份验证令牌、会话标识或其他自定义的敏感头部内容可能因此暴露。

目前，Sentry 官方已发布安全公告，并建议用户将 `@sentry/node` 依赖升级至 10.27.0 或更高版本以修复此问题。对于大量依赖 Sentry 进行应用监控的 Node.js 后端服务而言，此漏洞构成了直接的数据安全风险。开发团队需立即审查其依赖版本，并优先安排此安全更新的部署，以防止潜在的内部数据泄露事件。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, Node.js, 数据泄露, CVE, 依赖管理
- **Credibility**: unverified
- **Published**: 2026-04-03 20:27:15
- **ID**: 49483
- **URL**: https://whisperx.ai/en/intel/49483