Plataforma
ruby
Componente
spree_auth_devise
Corregido en
4.3.1
4.2.1
4.1.1
4.0.2
4.4.1
La vulnerabilidad CVE-2021-41275 es una falla de Cross-Site Request Forgery (CSRF) presente en la versión 4.4.0 y anteriores del componente frontend de spreeauthdevise para Ruby. Esta falla permite a un atacante, bajo ciertas condiciones, tomar el control de las cuentas de usuario. La vulnerabilidad se explota cuando protectfromforgery se ejecuta con estrategias :nullsession o :resetsession y se configura incorrectamente. La versión 4.4.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para realizar acciones en nombre de un usuario autenticado sin su consentimiento. Esto podría incluir cambiar la contraseña del usuario, modificar su perfil, realizar compras no autorizadas o acceder a información confidencial. El impacto es particularmente grave si la aplicación maneja información sensible o transacciones financieras. La vulnerabilidad se agrava por el uso de estrategias de sesión débiles, lo que facilita la manipulación de las solicitudes HTTP. La toma de control de la cuenta permite al atacante acceder a todos los recursos y datos asociados a la cuenta del usuario afectado.
La vulnerabilidad fue publicada el 18 de noviembre de 2021. No se ha reportado explotación activa en la naturaleza, pero la alta severidad (CVSS 9.3) y la disponibilidad de información técnica la convierten en un objetivo potencial. Es importante monitorear la aplicación en busca de actividad sospechosa. La vulnerabilidad se considera de alta probabilidad de explotación debido a su relativa facilidad de explotación y la prevalencia de spreeauthdevise en aplicaciones Ruby on Rails.
Applications built with Ruby on Rails that utilize the Spree Auth Devise gem, particularly those relying on the frontend component, are at risk. Specifically, applications using default configurations or those that have not explicitly configured protectfromforgery with robust settings are highly vulnerable. Shared hosting environments where application configurations are less controllable also present a heightened risk.
• ruby / server:
# Check for Spree Auth Devise version
require 'spree_auth_devise'
puts Spree::Auth::Devise.version• ruby / server:
# Inspect application configuration for protect_from_forgery settings
# Look for configurations using :null_session or :reset_session• generic web:
# Check for suspicious requests in access logs
# Look for requests with unexpected parameters or origins
grep -i 'spree_auth_devise' /var/log/nginx/access.logdisclosure
patch
Estado del Exploit
EPSS
0.07% (23% percentil)
Vector CVSS
La solución principal es actualizar a la versión 4.4.1 de spreeauthdevise. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Verifique la configuración de protectfromforgery para asegurar que no se esté utilizando la estrategia :nullsession a menos que sea absolutamente necesario. Si se requiere :nullsession, revise cuidadosamente la lógica de la aplicación para evitar posibles ataques CSRF. Implementar validaciones adicionales en las acciones críticas puede ayudar a reducir el riesgo. Considere el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Después de la actualización, confirme que la vulnerabilidad ha sido corregida revisando los registros de la aplicación en busca de intentos de ataque CSRF.
Actualice la gema spree_auth_devise a la versión 4.4.1 o superior para las aplicaciones Spree 4.3, a la versión 4.2.1 o superior para las aplicaciones Spree 4.2, a la versión 4.1.1 o superior para las aplicaciones Spree 4.1, o a la versión 4.0.1 o superior para versiones anteriores. Como alternativa, cambie la estrategia de protección contra CSRF a :exception en su ApplicationController o en el Spree::UsersController.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-41275 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Spree Auth Devise versions up to 4.4.0, allowing attackers to potentially take over user accounts.
You are affected if your application uses Spree Auth Devise version 4.4.0 or earlier and the protectfromforgery method is misconfigured.
Upgrade to Spree Auth Devise version 4.4.1 or higher. Review and correct the configuration of protectfromforgery if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are known, the CRITICAL severity and availability of PoCs suggest a potential for exploitation.
Refer to the Spree Auth Devise GitHub repository for details and updates: https://github.com/spree/spree-auth-devise
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.