Plataforma
ruby
Componente
solidus_auth_devise
Corregido en
1.0.1
2.5.4
La vulnerabilidad CVE-2021-41274 es una falla de Cross-Site Request Forgery (CSRF) presente en la componente frontend de solidusauthdevise hasta la versión 2.5.3. Esta vulnerabilidad permite a un atacante, bajo ciertas condiciones, realizar acciones en nombre de un usuario autenticado sin su consentimiento, resultando en la posible toma de control de la cuenta. La vulnerabilidad afecta a aplicaciones que utilizan solidusauthdevise y no han aplicado la actualización a la versión 2.5.4. Se recomienda actualizar inmediatamente a la versión corregida.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en nombre de un usuario autenticado. Esto incluye modificar la información del perfil del usuario, realizar pedidos, o incluso cambiar la contraseña del usuario. El éxito de la explotación depende de la configuración de protectfromforgery y de la estrategia de sesión utilizada. La vulnerabilidad es particularmente grave porque permite la toma de control completa de la cuenta del usuario, lo que puede resultar en pérdida de datos, fraude financiero y daño a la reputación. La configuración predeterminada de protectfromforgery con :null_session aumenta significativamente el riesgo de explotación.
La vulnerabilidad fue publicada el 18 de noviembre de 2021. No se ha reportado explotación activa en la naturaleza, pero la alta severidad (CVSS 9.3) y la relativa facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas afectados para detectar posibles intentos de explotación. La vulnerabilidad no figura en el KEV de CISA al momento de la redacción.
Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.
• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.
gem list solidus_auth_devise• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns.
• wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.
disclosure
patch
Estado del Exploit
EPSS
0.11% (29% percentil)
Vector CVSS
La mitigación principal es actualizar a la versión 2.5.4 de solidusauthdevise, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden aplicar mitigaciones temporales. Asegúrese de que protectfromforgery esté configurado correctamente y no utilice la estrategia :nullsession a menos que sea absolutamente necesario. Implemente medidas de seguridad adicionales, como la verificación de doble factor (2FA), para reducir el riesgo de toma de control de cuentas. Revise la configuración de Spree::UserController para asegurar que el hook :loadobject no esté precediendo a la configuración de protectfromforgery. Después de la actualización, confirme que la protección CSRF está activa verificando que las solicitudes POST incluyan el token CSRF esperado.
Actualice la gema `solidus_auth_devise` a la versión 2.5.4 o superior. Si no puede actualizar, cambie la estrategia de protección contra CSRF a `:exception` en su aplicación Rails. Consulte el advisory de GitHub para obtener más detalles sobre posibles soluciones alternativas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-41274 is a critical Cross-Site Request Forgery (CSRF) vulnerability in solidusauthdevise versions up to 2.5.3, allowing attackers to potentially take over user accounts.
You are affected if your Rails application uses solidusauthdevise version 2.5.3 or earlier, and the protectfromforgery method is misconfigured.
Upgrade to version 2.5.4 or later of solidusauthdevise. Review and correct your protectfromforgery configuration if an immediate upgrade isn't possible.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the solidusauthdevise project's GitHub repository and associated security advisories for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.