Plateforme
ruby
Composant
spree_auth_devise
Corrigé dans
4.3.1
4.2.1
4.1.1
4.0.2
4.4.1
Une vulnérabilité CSRF (Cross-Site Request Forgery) a été découverte dans Spree Auth Devise, affectant les versions inférieures ou égales à 4.4.0. Cette faille permet à un attaquant de réaliser une prise de contrôle de compte utilisateur. L'impact est significatif, car elle permet d'effectuer des actions au nom d'un utilisateur authentifié sans son consentement. La mise à jour vers la version 4.4.1 corrige cette vulnérabilité.
La vulnérabilité CSRF dans Spree Auth Devise permet à un attaquant d'exploiter le mécanisme protectfromforgery de Rails. Si protectfromforgery est configuré avec la stratégie :nullsession (par défaut) ou :resetsession et exécuté comme un beforeaction ou prependbeforeaction avant le hook :loadobject dans Spree::UserController, un attaquant peut créer des requêtes malveillantes qui seront exécutées avec les privilèges de l'utilisateur authentifié. Cela peut conduire à des modifications non autorisées du compte utilisateur, des achats frauduleux, ou d'autres actions malveillantes. L'attaquant n'a besoin que de tromper l'utilisateur pour qu'il visite une page web malveillante contenant la requête CSRF.
Cette vulnérabilité a été rendue publique le 18 novembre 2021. Bien qu'aucune exploitation active à grande échelle n'ait été signalée publiquement, la nature critique de la vulnérabilité et sa facilité d'exploitation la rendent potentiellement dangereuse. Il n'y a pas d'indication qu'elle soit présente dans le catalogue KEV de CISA à ce jour. Des preuves de concept (PoC) pourraient être disponibles ou émerger rapidement, augmentant le risque d'exploitation.
Applications built with Ruby on Rails that utilize the Spree Auth Devise gem, particularly those relying on the frontend component, are at risk. Specifically, applications using default configurations or those that have not explicitly configured protectfromforgery with robust settings are highly vulnerable. Shared hosting environments where application configurations are less controllable also present a heightened risk.
• ruby / server:
# Check for Spree Auth Devise version
require 'spree_auth_devise'
puts Spree::Auth::Devise.version• ruby / server:
# Inspect application configuration for protect_from_forgery settings
# Look for configurations using :null_session or :reset_session• generic web:
# Check for suspicious requests in access logs
# Look for requests with unexpected parameters or origins
grep -i 'spree_auth_devise' /var/log/nginx/access.logdisclosure
patch
Statut de l'Exploit
EPSS
0.07% (percentile 23%)
Vecteur CVSS
La solution principale est de mettre à jour Spree Auth Devise vers la version 4.4.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, plusieurs mesures de mitigation peuvent être appliquées. Il est crucial de vérifier la configuration de protectfromforgery et de s'assurer qu'elle n'utilise pas la stratégie :null_session si elle n'est pas absolument nécessaire. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes CSRF malveillantes. Enfin, une validation stricte des entrées utilisateur et l'utilisation de tokens CSRF robustes sont des bonnes pratiques de sécurité qui peuvent réduire le risque d'exploitation.
Mettez à jour la gemme spree_auth_devise à la version 4.4.1 ou supérieure pour les applications Spree 4.3, à la version 4.2.1 ou supérieure pour les applications Spree 4.2, à la version 4.1.1 ou supérieure pour les applications Spree 4.1, ou à la version 4.0.1 ou supérieure pour les versions antérieures. Alternativement, modifiez la stratégie de protection CSRF à :exception dans votre ApplicationController ou dans le Spree::UsersController.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-41275 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Spree Auth Devise versions up to 4.4.0, allowing attackers to potentially take over user accounts.
You are affected if your application uses Spree Auth Devise version 4.4.0 or earlier and the protectfromforgery method is misconfigured.
Upgrade to Spree Auth Devise version 4.4.1 or higher. Review and correct the configuration of protectfromforgery if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are known, the CRITICAL severity and availability of PoCs suggest a potential for exploitation.
Refer to the Spree Auth Devise GitHub repository for details and updates: https://github.com/spree/spree-auth-devise
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.