CRITICALCVE-2021-41275CVSS 9.3

Spree Auth Devise の脆弱性により、CSRF の弱点を悪用して認証をバイパスできる

Q: CVE-2021-41275 — CSRF in Spree Auth Deviseとは何ですか？

CVE-2021-41275は、Spree Auth Deviseの認証ライブラリにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。攻撃者は、この脆弱性を悪用してユーザーアカウントを乗っ取ることが可能です。

Q: CVE-2021-41275 in Spree Auth Deviseに影響を受けますか？

Spree Auth Deviseのバージョン4.4.0以下のSpreeアプリケーションを使用している場合は、影響を受ける可能性があります。バージョン4.4.1以降にアップグレードすることで、この脆弱性を修正できます。

Q: CVE-2021-41275 in Spree Auth Deviseを修正するにはどうすればよいですか？

Spree Auth Deviseをバージョン4.4.1以降にアップグレードしてください。アップグレードが一時的にアプリケーションの動作に影響を与える可能性がある場合は、ロールバック手順を事前に準備しておくことを推奨します。

Q: CVE-2021-41275は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、公開されている脆弱性であるため、攻撃者が悪用する可能性があります。

Q: CVE-2021-41275に関するSpreeの公式アドバイザリはどこで入手できますか？

Spreeの公式アドバイザリは、SpreeのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

ruby

コンポーネント

spree_auth_devise

修正版

4.3.1

4.2.1

4.1.1

4.0.2

4.4.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2021-41275は、Ruby on RailsのSpree Auth Deviseという認証ライブラリにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。この脆弱性は、攻撃者が認証済みユーザーの権限を悪用し、ユーザーアカウントを乗っ取ることができる可能性があります。影響を受けるバージョンは4.4.0以下ですが、4.4.1以降で修正されています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証済みユーザーになりすますことを可能にします。攻撃者は、ユーザーが意図しない操作を実行させるために、悪意のあるリクエストを仕掛けることができます。例えば、パスワードの変更、個人情報の更新、注文の作成など、ユーザーアカウントに対するあらゆる操作が攻撃者に実行される可能性があります。この脆弱性は、特にprotectfromforgeryメソッドが特定の条件下で設定されている場合に深刻な影響を及ぼします。攻撃者は、ユーザーのセッションを乗っ取り、機密情報にアクセスしたり、不正な取引を実行したりする可能性があります。

悪用の状況

この脆弱性は、公開されており、攻撃者が悪用する可能性があります。現時点では、KEVリストには登録されていませんが、CVSSスコアがCRITICALであるため、攻撃の可能性は高いと考えられます。公開されているPoCは確認されていませんが、CSRF攻撃は比較的容易に実行可能なため、注意が必要です。2021年11月18日に公開されました。

リスク対象者翻訳中…

Applications built with Ruby on Rails that utilize the Spree Auth Devise gem, particularly those relying on the frontend component, are at risk. Specifically, applications using default configurations or those that have not explicitly configured protectfromforgery with robust settings are highly vulnerable. Shared hosting environments where application configurations are less controllable also present a heightened risk.

検出手順翻訳中…

• ruby / server:

# Check for Spree Auth Devise version
require 'spree_auth_devise'
puts Spree::Auth::Devise.version

• ruby / server:

# Inspect application configuration for protect_from_forgery settings
# Look for configurations using :null_session or :reset_session

• generic web:

# Check for suspicious requests in access logs
# Look for requests with unexpected parameters or origins
grep -i 'spree_auth_devise' /var/log/nginx/access.log

攻撃タイムライン

2021-11-18Disclosure
disclosure
2021-11-18Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (23% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントspree_auth_devise

ベンダーosv

影響範囲修正版

>= 4.3.0, < 4.4.1 – >= 4.3.0, < 4.4.14.3.1

>= 4.2.0, < 4.2.1 – >= 4.2.0, < 4.2.14.2.1

>= 4.1.0, < 4.1.1 – >= 4.1.0, < 4.1.14.1.1

< 4.0.1 – < 4.0.14.0.2

4.3.04.4.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2021-09-15
公開日2021-11-18
更新日2026-03-13
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、Spree Auth Deviseをバージョン4.4.1以降にアップグレードすることです。アップグレードが一時的にアプリケーションの動作に影響を与える可能性がある場合は、ロールバック手順を事前に準備しておくことを推奨します。また、Webアプリケーションファイアウォール（WAF）やリバースプロキシを使用して、CSRF攻撃を軽減することも有効です。WAFのルールを設定し、不審なリクエストをブロックすることで、攻撃の影響を最小限に抑えることができます。さらに、Spreeアプリケーションの構成を見直し、protectfromforgeryメソッドの設定が適切であることを確認してください。

修正方法

Spree 4.3 アプリケーションでは、spree_auth_devise を 4.4.1 以降に、Spree 4.2 アプリケーションでは 4.2.1 以降に、Spree 4.1 アプリケーションでは 4.1.1 以降に、古い Spree バージョンのアプリケーションでは 4.0.1 以降にアップデートしてください。代替案として、ApplicationController または Spree::UsersController で CSRF 保護の戦略を `:exception` に変更してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2021-41275 — CSRF in Spree Auth Deviseとは何ですか？