Vampire000

**Nome do software vulnerável e versões afetadas** Versões do solidus auth devise anteriores à 2.5.4 **Descrição** O problema é uma vulnerabilidade CSRF que permite a apropriação de contas de usuário. Ela afeta aplicativos que utilizam qualquer versão do componente front-end do `solidus auth devise` se o método `protect from forgery` for executado como um callback `before action` ou um `prepend before action` antes do hook `:load object` no `Spree::UserController`, e estiver configurado para usar as estratégias `:null session` ou `:reset session`. **Recomendações** Para resolver o problema, atualize para a versão 2.5.4 do `solidus auth devise`. Se a atualização não for possível, altere a estratégia para `:exception` adicionando `protect from forgery with: :exception` ao ApplicationController. Como alternativa, adicione `config.after initialize do Spree::UsersController.protect from forgery with: :exception end` ao `config/application.rb` para executar a estratégia `:exception` no controlador afetado.