Plataforma
ruby
Componente
spree_auth_devise
Corrigido em
4.3.1
4.2.1
4.1.1
4.0.2
4.4.1
A vulnerabilidade CVE-2021-41275 é uma falha de Cross-Site Request Forgery (CSRF) identificada no componente spreeauthdevise até a versão 4.4.0. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento, levando à possível tomada de controle da conta. A vulnerabilidade afeta aplicações que utilizam protectfromforgery com configurações específicas e pode ser mitigada atualizando para a versão 4.4.1.
A exploração bem-sucedida da vulnerabilidade CSRF em spreeauthdevise permite que um atacante realize ações como alterar senhas, atualizar informações de perfil e efetuar compras em nome do usuário autenticado, sem o seu consentimento. Isso pode resultar em roubo de informações pessoais, perdas financeiras e comprometimento da integridade do sistema. A vulnerabilidade é particularmente grave porque afeta a autenticação e autorização, que são componentes críticos de segurança de qualquer aplicação web. A combinação de protectfromforgery mal configurado e o uso de estratégias de sessão nullsession ou resetsession agrava o risco, permitindo que um atacante contorne as proteções CSRF padrão.
A vulnerabilidade CVE-2021-41275 foi divulgada em 18 de novembro de 2021. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação do risco imediato, mas a gravidade da vulnerabilidade (CVSS 9.3) indica que ela deve ser tratada com alta prioridade. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Applications built with Ruby on Rails that utilize the Spree Auth Devise gem, particularly those relying on the frontend component, are at risk. Specifically, applications using default configurations or those that have not explicitly configured protectfromforgery with robust settings are highly vulnerable. Shared hosting environments where application configurations are less controllable also present a heightened risk.
• ruby / server:
# Check for Spree Auth Devise version
require 'spree_auth_devise'
puts Spree::Auth::Devise.version• ruby / server:
# Inspect application configuration for protect_from_forgery settings
# Look for configurations using :null_session or :reset_session• generic web:
# Check for suspicious requests in access logs
# Look for requests with unexpected parameters or origins
grep -i 'spree_auth_devise' /var/log/nginx/access.logdisclosure
patch
Status do Exploit
EPSS
0.07% (percentil 23%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2021-41275 é atualizar o componente spreeauthdevise para a versão 4.4.1 ou superior, que inclui a correção para a falha CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todos os parâmetros de entrada e a utilização de tokens CSRF em todos os formulários. Além disso, revise a configuração de protectfromforgery para garantir que esteja configurado corretamente e que as estratégias de sessão adequadas estejam sendo utilizadas. Após a atualização, confirme a correção verificando se os formulários estão protegidos contra ataques CSRF e se as ações sensíveis exigem autenticação adequada.
Atualize a gema spree_auth_devise para a versão 4.4.1 ou superior para aplicações Spree 4.3, para a versão 4.2.1 ou superior para aplicações Spree 4.2, para a versão 4.1.1 ou superior para aplicações Spree 4.1, ou para a versão 4.0.1 ou superior para versões anteriores. Alternativamente, altere a estratégia de proteção contra CSRF para :exception em seu ApplicationController ou em Spree::UsersController.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-41275 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Spree Auth Devise versions up to 4.4.0, allowing attackers to potentially take over user accounts.
You are affected if your application uses Spree Auth Devise version 4.4.0 or earlier and the protectfromforgery method is misconfigured.
Upgrade to Spree Auth Devise version 4.4.1 or higher. Review and correct the configuration of protectfromforgery if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are known, the CRITICAL severity and availability of PoCs suggest a potential for exploitation.
Refer to the Spree Auth Devise GitHub repository for details and updates: https://github.com/spree/spree-auth-devise
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.