Plateforme
ruby
Composant
solidus_auth_devise
Corrigé dans
1.0.1
2.5.4
Une vulnérabilité CSRF (Cross-Site Request Forgery) a été découverte dans le composant frontend de solidusauthdevise jusqu'à la version 2.5.3. Cette faille permet à un attaquant de réaliser des actions au nom d'un utilisateur authentifié, potentiellement conduisant à la prise de contrôle de compte. La vulnérabilité est présente si protectfromforgery est configuré avec :nullsession ou :resetsession. La version 2.5.4 corrige ce problème.
L'impact principal de cette vulnérabilité CSRF réside dans la possibilité pour un attaquant de prendre le contrôle des comptes utilisateurs. En exploitant cette faille, un attaquant peut modifier les informations de profil, effectuer des achats non autorisés, ou même supprimer des comptes. Le risque est particulièrement élevé pour les applications e-commerce, où la prise de contrôle de compte peut entraîner des pertes financières importantes et une atteinte à la réputation. Cette vulnérabilité exploite le mécanisme de confiance implicite entre le serveur et le navigateur de l'utilisateur, permettant à l'attaquant de forger des requêtes qui semblent provenir de l'utilisateur légitime.
Cette vulnérabilité a été rendue publique le 18 novembre 2021. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la nature critique de la vulnérabilité et sa facilité d'exploitation la rendent potentiellement attrayante pour les attaquants. Il est recommandé de prendre des mesures correctives rapidement. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction.
Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.
• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.
gem list solidus_auth_devise• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns.
• wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.
disclosure
patch
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour solidusauthdevise vers la version 2.5.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est crucial de désactiver temporairement la stratégie :nullsession ou :resetsession pour protectfromforgery. Envisagez également l'implémentation de mesures de sécurité supplémentaires, telles que la validation des tokens CSRF côté serveur et l'utilisation de cookies HttpOnly et Secure. Surveillez attentivement les journaux d'accès pour détecter des requêtes suspectes et configurez des règles WAF pour bloquer les tentatives d'exploitation CSRF.
Mettez à jour la gemme `solidus_auth_devise` à la version 2.5.4 ou supérieure. Si vous ne pouvez pas mettre à jour, changez la stratégie de protection CSRF à `:exception` dans votre application Rails. Consultez l'avis GitHub pour plus de détails sur les solutions de contournement possibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-41274 is a critical Cross-Site Request Forgery (CSRF) vulnerability in solidusauthdevise versions up to 2.5.3, allowing attackers to potentially take over user accounts.
You are affected if your Rails application uses solidusauthdevise version 2.5.3 or earlier, and the protectfromforgery method is misconfigured.
Upgrade to version 2.5.4 or later of solidusauthdevise. Review and correct your protectfromforgery configuration if an immediate upgrade isn't possible.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the solidusauthdevise project's GitHub repository and associated security advisories for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.