मुफ्त स्कैन करें
MEDIUMCVE-2026-32700CVSS 5.3

Devise has a confirmable "change email" race condition permits user to confirm email they have no access to

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

ruby

घटक

devise

में ठीक किया गया

5.0.4

5.0.3

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-32700 describes a race condition vulnerability within the Devise Confirmable module, a popular authentication solution for Ruby on Rails applications. This flaw allows an attacker to potentially hijack user accounts by confirming email addresses they do not own. The vulnerability impacts applications using the reconfirmable option, which is the default configuration when using Confirmable with email changes, and affects versions of Devise up to 5.0.2. A fix is available in version 5.0.3.

Ruby

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

Gemfile.lock अपलोड करेंसमर्थित प्रारूप: Gemfile.lock · Gemfile

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The core of the vulnerability lies in a desynchronization issue between the confirmationtoken and unconfirmedemail fields within the Devise database. An attacker can exploit this by sending two concurrent email change requests. The first request triggers the generation and sending of a confirmation token to an email address controlled by the attacker. Simultaneously, the second request updates the unconfirmed_email field in the database to point to a victim's email address. When the attacker subsequently uses the confirmation token, the system incorrectly confirms the victim's email address, effectively granting the attacker control over the victim's account. This could lead to unauthorized access to sensitive data, modification of user profiles, and potentially further compromise of the application.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was publicly disclosed on March 17, 2026. There is currently no indication of active exploitation campaigns targeting this vulnerability. No public proof-of-concept (PoC) code has been released. The vulnerability has not been added to the CISA KEV catalog at the time of this writing. The CVSS score of 5.3 (Medium) reflects the potential impact and relatively low exploitability.

कौन जोखिम में हैअनुवाद हो रहा है…

Applications built with Ruby on Rails that utilize the Devise authentication gem and specifically enable the reconfirmable option in the Confirmable module are at risk. This includes applications that allow users to change their email addresses and rely on email confirmation for verification. Shared hosting environments where multiple applications share the same database may also be vulnerable if one application is running an older, vulnerable version of Devise.

पहचान के चरणअनुवाद हो रहा है…

• ruby / rails:

# Check Devise version
require 'devise'
presence = Devise.presence
puts "Devise version: #{Devise.version}" if presence

• generic web:

grep -r 'Devise.confirmable?' app/models/**/*.rb

• generic web:

curl -I https://your-rails-app.com/confirmations/new | grep -i devise

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
NextGuard100% अभी भी असुरक्षित

EPSS

0.02% (5% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकdevise
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 5.0.3 – < 5.0.35.0.4
5.0.3

कमजोरी वर्गीकरण (CWE)

CWE-362

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 0 दिन बाद पैच

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-32700 is to upgrade to Devise version 5.0.3 or later, which contains the fix for the race condition. If an immediate upgrade is not feasible due to compatibility concerns or breaking changes, consider implementing a temporary workaround by adding a unique constraint on the unconfirmed_email field in the database. This will prevent concurrent updates to the same email address, mitigating the race condition. Additionally, monitor application logs for suspicious activity, such as multiple email confirmation requests originating from the same IP address within a short timeframe. After upgrading, confirm the fix by attempting to trigger the race condition manually and verifying that the email confirmation process behaves as expected.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la gema Devise a la versión 5.0.3 o superior. Esto corrige la condición de carrera en el módulo Confirmable. Si no puede actualizar inmediatamente, puede implementar la solución alternativa descrita en el advisory, que implica sobreescribir un método específico en los modelos Devise para forzar la persistencia de `unconfirmed_email` cuando no se modifica.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-32700 — Race Condition in Devise Email Confirmation?

CVE-2026-32700 is a race condition vulnerability in Devise versions up to 5.0.2. It allows attackers to confirm email addresses they don't own, potentially hijacking user accounts.

Am I affected by CVE-2026-32700 in Devise Email Confirmation?

You are affected if your Ruby on Rails application uses Devise version 5.0.2 or earlier and has the reconfirmable option enabled in the Confirmable module.

How do I fix CVE-2026-32700 in Devise Email Confirmation?

Upgrade to Devise version 5.0.3 or later to resolve the race condition. As a temporary workaround, add a unique constraint on the unconfirmed_email database field.

Is CVE-2026-32700 being actively exploited?

There is currently no evidence of active exploitation campaigns targeting CVE-2026-32700.

Where can I find the official Devise advisory for CVE-2026-32700?

Refer to the Devise project's security advisories and release notes for details: https://github.com/heartcombo/devise/security

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें