Spree Auth Devise 漏洞允许通过 CSRF 弱点绕过身份验证

该 CSRF 漏洞允许攻击者利用 Spreeauthdevise 组件的身份验证功能，在用户不知情的情况下执行恶意操作。攻击者可以构造恶意的 HTTP 请求，诱骗用户点击或访问包含恶意代码的链接，从而在用户不知情的情况下修改用户帐户信息、执行敏感操作或窃取用户数据。如果 protectfromforgery 方法配置不当，且使用 :nullsession 或 :resetsession 策略，则风险更高。攻击者可能利用此漏洞完全控制受影响的应用程序。

Applications built with Ruby on Rails that utilize the Spree Auth Devise gem, particularly those relying on the frontend component, are at risk. Specifically, applications using default configurations or those that have not explicitly configured protectfromforgery with robust settings are highly vulnerable. Shared hosting environments where application configurations are less controllable also present a heightened risk.

• ruby / server:

# Check for Spree Auth Devise version
require 'spree_auth_devise'
puts Spree::Auth::Devise.version

• ruby / server:

# Inspect application configuration for protect_from_forgery settings
# Look for configurations using :null_session or :reset_session

• generic web:

# Check for suspicious requests in access logs
# Look for requests with unexpected parameters or origins
grep -i 'spree_auth_devise' /var/log/nginx/access.log

1. 2021-11-18Disclosure

   disclosure

2. 2021-11-18Patch

   patch

1. 已保留2021-09-15
2. 发布日期2021-11-18
3. 修改日期2026-03-13
4. EPSS 更新日期2026-04-02

缓解此漏洞的首要措施是立即升级 Spreeauthdevise 组件至 4.4.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：确保 protectfromforgery 方法已正确配置，并且未使用 :nullsession 或 :resetsession 策略。此外，实施严格的输入验证和输出编码，以防止跨站脚本攻击 (XSS)。监控应用程序日志，查找可疑的 CSRF 攻击尝试。在升级后，请确认通过测试用户帐户的敏感操作，以验证漏洞已成功修复。