認証バイパスによるCSRFの脆弱性

このCSRF脆弱性は、攻撃者がユーザーの認証情報を盗むことなく、そのユーザーになりすましてアクションを実行することを可能にします。例えば、攻撃者はユーザーのパスワードをリセットしたり、ユーザーのプロファイルを変更したり、ユーザーの代わりに注文を送信したりすることができます。特に、protectfromforgeryメソッドがデフォルト設定で実行され、:nullsessionまたは:resetsession戦略が使用されている場合、脆弱性の影響は大きくなります。この脆弱性を悪用されると、機密情報の漏洩、不正な操作、さらにはシステム全体の制御喪失につながる可能性があります。

Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.

• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.

gem list solidus_auth_devise

• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns. • wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.

1. 2021-11-18Disclosure

   disclosure

2. 2021-11-18Patch

   patch

1. 予約済み2021-09-15
2. 公開日2021-11-18
3. 更新日2026-03-13
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、solidusauthdeviseをバージョン2.5.4以降にアップデートすることです。アップデートが困難な場合は、一時的な緩和策として、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することを検討してください。また、protectfromforgeryメソッドの設定を見直し、:nullsessionまたは:resetsession戦略の使用を避けることも有効です。アップデート後、アプリケーションの動作を十分にテストし、CSRF攻撃に対する防御が機能していることを確認してください。