Plataforma
ruby
Componente
solidus_auth_devise
Corrigido em
1.0.1
2.5.4
A vulnerabilidade CVE-2021-41274 é uma falha de Cross-Site Request Forgery (CSRF) identificada no componente solidusauthdevise para aplicações Ruby on Rails. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento, resultando em potencial tomada de controle de contas. A vulnerabilidade afeta versões do componente anteriores ou iguais a 2.5.3, e a correção foi disponibilizada na versão 2.5.4.
Um atacante pode explorar essa vulnerabilidade CSRF para realizar ações não autorizadas em nome de um usuário autenticado. Isso pode incluir a alteração de informações de perfil, a realização de pedidos fraudulentos ou até mesmo a obtenção de acesso administrativo ao sistema, dependendo das permissões do usuário afetado. A exploração bem-sucedida dessa vulnerabilidade pode levar a graves consequências para a segurança da aplicação e dos dados dos usuários. A falha reside na configuração incorreta do protectfromforgery no Spree::UserController, especialmente quando combinado com as estratégias :nullsession ou :resetsession, tornando a aplicação suscetível a ataques CSRF.
A vulnerabilidade foi divulgada publicamente em 18 de novembro de 2021. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação precisa da probabilidade de exploração, mas a alta pontuação CVSS (9.3) indica um risco significativo. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.
• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.
gem list solidus_auth_devise• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns.
• wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.
disclosure
patch
Status do Exploit
EPSS
0.11% (percentil 29%)
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o componente solidusauthdevise para a versão 2.5.4 ou superior, que inclui a correção para a falha CSRF. Se a atualização imediata não for possível, é crucial revisar a configuração do protectfromforgery no Spree::UserController e garantir que ele esteja configurado corretamente para evitar ataques CSRF. Implementar medidas de segurança adicionais, como a validação de tokens CSRF em todas as requisições sensíveis, também pode ajudar a reduzir o risco. Além disso, considere a implementação de WAF (Web Application Firewall) com regras específicas para detectar e bloquear requisições CSRF.
Atualize a gema `solidus_auth_devise` para a versão 2.5.4 ou superior. Se não for possível atualizar, altere a estratégia de proteção contra CSRF para `:exception` em sua aplicação Rails. Consulte o advisory do GitHub para obter mais detalhes sobre possíveis soluções alternativas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-41274 is a critical Cross-Site Request Forgery (CSRF) vulnerability in solidusauthdevise versions up to 2.5.3, allowing attackers to potentially take over user accounts.
You are affected if your Rails application uses solidusauthdevise version 2.5.3 or earlier, and the protectfromforgery method is misconfigured.
Upgrade to version 2.5.4 or later of solidusauthdevise. Review and correct your protectfromforgery configuration if an immediate upgrade isn't possible.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the solidusauthdevise project's GitHub repository and associated security advisories for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.