Platform
ruby
Component
spree_auth_devise
Opgelost in
4.3.1
4.2.1
4.1.1
4.0.2
4.4.1
CVE-2021-41275 is een kritieke Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Spreeauthdevise component, specifiek in de frontend. Deze kwetsbaarheid maakt accountovername mogelijk. De kwetsbaarheid treedt op in versies van Spreeauthdevise tot en met 4.4.0. Een patch is beschikbaar in versie 4.4.1.
Deze CSRF-kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een ingelogde gebruiker. Dit kan leiden tot volledige accountovername, inclusief het wijzigen van wachtwoorden, het aanpassen van profielgegevens en het uitvoeren van acties met de rechten van de gebruiker. De kwetsbaarheid is significant omdat het protectfromforgery mechanisme, dat bedoeld is om CSRF-aanvallen te voorkomen, niet correct is geconfigureerd in bepaalde scenario's, met name wanneer nullsession of resetsession strategieën worden gebruikt. Dit maakt het mogelijk voor een aanvaller om een kwaadaardige request te sturen die wordt uitgevoerd met de authenticatiegegevens van de gebruiker.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De impact is hoog vanwege de mogelijkheid van accountovername. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de potentiële impact rechtvaardigt een snelle mitigatie. De kwetsbaarheid is gepubliceerd op 2021-11-18.
Applications built with Ruby on Rails that utilize the Spree Auth Devise gem, particularly those relying on the frontend component, are at risk. Specifically, applications using default configurations or those that have not explicitly configured protectfromforgery with robust settings are highly vulnerable. Shared hosting environments where application configurations are less controllable also present a heightened risk.
• ruby / server:
# Check for Spree Auth Devise version
require 'spree_auth_devise'
puts Spree::Auth::Devise.version• ruby / server:
# Inspect application configuration for protect_from_forgery settings
# Look for configurations using :null_session or :reset_session• generic web:
# Check for suspicious requests in access logs
# Look for requests with unexpected parameters or origins
grep -i 'spree_auth_devise' /var/log/nginx/access.logdisclosure
patch
Exploit Status
EPSS
0.07% (23% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar versie 4.4.1 of hoger van Spreeauthdevise. Als een directe upgrade niet mogelijk is, controleer dan de configuratie van protectfromforgery. Zorg ervoor dat protectfromforgery correct is ingesteld en dat de gebruikte sessiestrategieën (bijvoorbeeld nullsession of resetsession) geen onbedoelde beveiligingslekken introduceren. Implementeer aanvullende beveiligingsmaatregelen, zoals het verifiëren van de herkomst van requests en het gebruik van Content Security Policy (CSP) om de impact van CSRF-aanvallen te beperken. Na de upgrade, controleer de applicatielogboeken op verdachte CSRF-gerelateerde activiteit.
Actualice la gema spree_auth_devise a la versión 4.4.1 o superior para las aplicaciones Spree 4.3, a la versión 4.2.1 o superior para las aplicaciones Spree 4.2, a la versión 4.1.1 o superior para las aplicaciones Spree 4.1, o a la versión 4.0.1 o superior para versiones anteriores. Como alternativa, cambie la estrategia de protección contra CSRF a :exception en su ApplicationController o en el Spree::UsersController.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-41275 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Spree Auth Devise versions up to 4.4.0, allowing attackers to potentially take over user accounts.
You are affected if your application uses Spree Auth Devise version 4.4.0 or earlier and the protectfromforgery method is misconfigured.
Upgrade to Spree Auth Devise version 4.4.1 or higher. Review and correct the configuration of protectfromforgery if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are known, the CRITICAL severity and availability of PoCs suggest a potential for exploitation.
Refer to the Spree Auth Devise GitHub repository for details and updates: https://github.com/spree/spree-auth-devise
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.