Platform
ruby
Component
solidus_auth_devise
Opgelost in
1.0.1
2.5.4
CVE-2021-41274 beschrijft een kritieke Cross-Site Request Forgery (CSRF) kwetsbaarheid in de solidusauthdevise component, versie 2.5.3 en lager. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een geauthenticeerde gebruiker, wat kan leiden tot accountovername. De kwetsbaarheid is te wijten aan een configuratiefout in de protectfromforgery methode, specifiek wanneer deze gebruikt wordt met :nullsession of :resetsession strategieën. Een update naar versie 2.5.4 is beschikbaar om dit probleem te verhelpen.
De impact van deze CSRF-kwetsbaarheid is significant. Een aanvaller kan, door middel van kwaadaardige websites of e-mails, een gebruiker dwingen om acties uit te voeren zonder hun medeweten. Dit kan resulteren in ongeautoriseerde wijzigingen aan gebruikersprofielen, het plaatsen van bestellingen, of zelfs het volledig overnemen van een gebruikersaccount. De kwetsbaarheid is vooral gevaarlijk omdat het solidusauthdevise component vaak wordt gebruikt voor authenticatie in e-commerce applicaties, waardoor gevoelige gegevens zoals persoonlijke informatie en financiële transacties in gevaar kunnen komen. Een succesvolle exploitatie kan leiden tot aanzienlijke financiële verliezen en reputatieschade voor de getroffen organisatie.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. Hoewel er geen bevestigde gevallen van actieve exploitatie zijn gemeld op het moment van publicatie, is de kritieke ernst en de potentiële impact een reden tot zorg. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. De publicatiedatum van de CVE is 2021-11-18.
Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.
• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.
gem list solidus_auth_devise• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns.
• wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.
disclosure
patch
Exploit Status
EPSS
0.11% (29% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-41274 is het upgraden van de solidusauthdevise component naar versie 2.5.4 of hoger. Voordat u de upgrade uitvoert, is het raadzaam om een back-up van uw applicatie te maken. Indien de upgrade problemen veroorzaakt, overweeg dan om terug te keren naar een eerdere stabiele versie. Als een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met CSRF-bescherming. Configureer de WAF om verzoeken te blokkeren die niet voldoen aan de CSRF-token validatie. Controleer ook de configuratie van protectfromforgery en zorg ervoor dat de :nullsession of :resetsession strategieën niet worden gebruikt, tenzij strikt noodzakelijk. Na de upgrade, bevestig de correcte werking door een CSRF-test uit te voeren.
Actualiseer de gema `solidus_auth_devise` naar versie 2.5.4 of hoger. Indien u niet kunt updaten, verander dan de CSRF-beschermingsstrategie naar `:exception` in uw Rails-applicatie. Raadpleeg de GitHub advisory voor meer details over mogelijke alternatieve oplossingen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-41274 is a critical Cross-Site Request Forgery (CSRF) vulnerability in solidusauthdevise versions up to 2.5.3, allowing attackers to potentially take over user accounts.
You are affected if your Rails application uses solidusauthdevise version 2.5.3 or earlier, and the protectfromforgery method is misconfigured.
Upgrade to version 2.5.4 or later of solidusauthdevise. Review and correct your protectfromforgery configuration if an immediate upgrade isn't possible.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the solidusauthdevise project's GitHub repository and associated security advisories for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.