प्लेटफ़ॉर्म
ruby
घटक
solidus_auth_devise
में ठीक किया गया
1.0.1
2.5.4
CVE-2021-41274 एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है जो solidusauthdevise के संस्करण 2.5.3 से कम या उसके बराबर वाले अनुप्रयोगों को प्रभावित करती है। इस भेद्यता का उपयोग करके, एक हमलावर उपयोगकर्ता के खाते पर नियंत्रण कर सकता है। भेद्यता 18 नवंबर, 2021 को प्रकाशित हुई थी, और संस्करण 2.5.4 में इसका समाधान किया गया है।
यह CSRF भेद्यता हमलावर को किसी भी उपयोगकर्ता के रूप में कार्य करने की अनुमति देती है, जिससे संवेदनशील डेटा तक अनधिकृत पहुंच, डेटा में बदलाव या विनाश हो सकता है। हमलावर उपयोगकर्ता के नाम से कार्रवाई कर सकता है, जैसे कि पासवर्ड बदलना, प्रोफाइल जानकारी अपडेट करना या अन्य महत्वपूर्ण कार्यों को करना। यदि protectfromforgery विधि को :nullsession या :resetsession रणनीतियों के साथ कॉन्फ़िगर किया गया है, तो भेद्यता का खतरा बढ़ जाता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उपयोगकर्ता प्रमाणीकरण के लिए solidusauthdevise पर निर्भर करते हैं।
CVE-2021-41274 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन CSRF भेद्यताओं का इतिहास बताता है कि इनका शोषण किया जा सकता है। इस भेद्यता को CISA KEV में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इसका शोषण करना आसान बनाते हैं।
Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.
• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.
gem list solidus_auth_devise• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns.
• wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.11% (29% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, solidusauthdevise को संस्करण 2.5.4 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो protectfromforgery विधि को अक्षम करने या :nullsession और :resetsession रणनीतियों को हटाने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि आपके एप्लिकेशन में CSRF सुरक्षा उपाय ठीक से लागू किए गए हैं, जैसे कि CSRF टोकन का उपयोग। अपडेट के बाद, यह सत्यापित करें कि CSRF सुरक्षा ठीक से काम कर रही है, उदाहरण के लिए, एक परीक्षण उपयोगकर्ता खाते के साथ CSRF हमले का अनुकरण करके।
जेम `solidus_auth_devise` को संस्करण 2.5.4 या उच्चतर में अपडेट करें। यदि आप अपडेट नहीं कर सकते हैं, तो अपने Rails एप्लिकेशन में CSRF सुरक्षा रणनीति को `:exception` में बदलें। संभावित वर्कअराउंड के बारे में अधिक जानकारी के लिए GitHub एडवाइजरी देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
solidus_auth_devise में क्या है?CVE-2021-41274 solidusauthdevise के संस्करण 2.5.3 से कम या उसके बराबर वाले अनुप्रयोगों में एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है, जो हमलावर को उपयोगकर्ता खाते पर नियंत्रण करने की अनुमति देती है।
solidus_auth_devise से प्रभावित हूं?यदि आप solidusauthdevise के संस्करण 2.5.3 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हो सकते हैं, खासकर यदि protectfromforgery विधि को :nullsession या :resetsession रणनीतियों के साथ कॉन्फ़िगर किया गया है।
solidus_auth_devise को कैसे ठीक करूं?भेद्यता को ठीक करने के लिए, solidusauthdevise को संस्करण 2.5.4 या उसके बाद के संस्करण में तुरंत अपडेट करें।
CVE-2021-41274 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन CSRF भेद्यताओं का इतिहास बताता है कि इनका शोषण किया जा सकता है।
solidus_auth_devise के लिए CVE-2021-41274 के लिए आधिकारिक सलाहकार कहां मिल सकता है?आप solidusauthdevise परियोजना के आधिकारिक भंडार या संबंधित सुरक्षा सलाहकार पर जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।