CRITICALCVE-2021-41274CVSS 9.3

身份验证 CSRF 弱点导致绕过

Q: 什么是 CVE-2021-41274 — CSRF 在 solidus_auth_devise 中？

CVE-2021-41274 是 solidus_auth_devise 组件中的一个跨站请求伪造 (CSRF) 漏洞，可能导致用户帐户被接管。影响 solidus_auth_devise ≤2.5.3 版本。

Q: 我是否受到 CVE-2021-41274 在 solidus_auth_devise 中影响？

如果您正在使用 solidus_auth_devise 的版本低于或等于 2.5.3，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2021-41274 在 solidus_auth_devise 中？

升级到 solidus_auth_devise 2.5.4 或更高版本以修复此漏洞。

Q: 在哪里可以找到 solidus_auth_devise 中 CVE-2021-41274 的官方公告？

请参阅 solidus_auth_devise 官方公告，获取有关此漏洞的更多信息和修复说明。

平台

ruby

组件

solidus_auth_devise

修复版本

1.0.1

2.5.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2021-41274 描述了 solidusauthdevise 组件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行操作，从而可能导致用户帐户被接管。该漏洞影响 solidusauthdevise 的所有前端组件版本，尤其是低于或等于 2.5.3 的版本。建议立即升级到 2.5.4 版本以解决此问题。

影响与攻击场景

该 CSRF 漏洞允许攻击者冒充合法用户执行任何操作，例如更改密码、更新电子邮件地址或进行其他敏感操作。攻击者可以通过诱骗用户点击恶意链接或提交恶意表单来利用此漏洞。由于该漏洞影响用户帐户接管，因此其潜在影响非常严重。如果攻击者成功接管用户帐户，他们可以访问用户的敏感数据、执行未经授权的操作，甚至可能破坏整个系统。该漏洞的利用方式类似于其他 CSRF 漏洞，攻击者可以利用已知的 CSRF 攻击技术来利用此漏洞。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。目前尚无关于该漏洞被积极利用的可靠报告，但由于其严重性和可利用性，建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。

哪些人处于风险中翻译中…

Applications built with Ruby on Rails that utilize the solidusauthdevise gem, especially those employing the default :null_session strategy for session management, are at significant risk. Shared hosting environments where multiple applications share the same server and configuration are also particularly vulnerable, as a compromise in one application could potentially impact others.

检测步骤翻译中…

• ruby / rails: Check Gemfile for solidusauthdevise versions <= 2.5.3. Inspect application code for protectfromforgery configuration, particularly looking for :nullsession or :resetsession strategies.

gem list solidus_auth_devise

• generic web: Monitor application logs for unusual activity, such as unexpected requests originating from different IP addresses. Review access logs for suspicious URLs or patterns. • wordpress / composer / npm: N/A - This vulnerability is specific to Ruby on Rails applications using the solidusauthdevise gem.

攻击时间线

2021-11-18Disclosure
disclosure
2021-11-18Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.11% (29% 百分位)

CVSS 向量

受影响的软件

组件solidus_auth_devise

供应商osv

影响范围修复版本

>= 1.0.0, < 2.5.4 – >= 1.0.0, < 2.5.41.0.1

1.0.02.5.4

弱点分类 (CWE)

CWE-352

时间线

已保留2021-09-15
发布日期2021-11-18
修改日期2026-03-13
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是升级到 solidusauthdevise 2.5.4 或更高版本。如果无法立即升级，可以考虑实施临时缓解措施，例如在应用程序中启用严格的 CSRF 保护。这包括确保 protectfromforgery 方法已正确配置，并且使用 :nullsession 或 :resetsession 策略时要格外小心。此外，可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止 CSRF 攻击。在升级后，请确认 CSRF 保护已正确实施，并且应用程序不再容易受到攻击。

修复方法

将 `solidus_auth_devise` gem 更新到 2.5.4 或更高版本。 如果无法更新，请在 Rails 应用程序中将 CSRF 保护策略更改为 `:exception`。 请参阅 GitHub advisory 以获取有关潜在规避方法的更多详细信息。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2021-41274 — CSRF 在 solidus_auth_devise 中？

CVE-2021-41274 是 solidusauthdevise 组件中的一个跨站请求伪造 (CSRF) 漏洞，可能导致用户帐户被接管。影响 solidusauthdevise ≤2.5.3 版本。

我是否受到 CVE-2021-41274 在 solidus_auth_devise 中影响？

如果您正在使用 solidusauthdevise 的版本低于或等于 2.5.3，则您可能受到此漏洞的影响。

我如何修复 CVE-2021-41274 在 solidus_auth_devise 中？

升级到 solidusauthdevise 2.5.4 或更高版本以修复此漏洞。

CVE-2021-41274 是否正在被积极利用？

目前尚无关于该漏洞被积极利用的可靠报告，但由于其严重性和可利用性，建议尽快采取缓解措施。

在哪里可以找到 solidus_auth_devise 中 CVE-2021-41274 的官方公告？

请参阅 solidusauthdevise 官方公告，获取有关此漏洞的更多信息和修复说明。