Unknown · Spree Auth Devise · CVE-2021-41275
**Nome do software vulnerável e versões afetadas**
Versões do spree auth devise anteriores à 4.0.1
Versões do spree auth devise anteriores à 4.1.1
Versões do spree auth devise anteriores à 4.2.1
Versões do spree auth devise anteriores à 4.4.1
**Descrição**
O problema é uma vulnerabilidade CSRF que permite a apropriação da conta do usuário. Todos os aplicativos que utilizam qualquer versão do componente front-end do `spree auth devise` são afetados se o método `protect from forgery` for executado tanto como um callback before action quanto como um prepend before action antes do gancho `:load object` no `Spree::UserController`, e estiver configurado para usar as estratégias `:null session` ou `:reset session`. Aplicativos que não tenham sido configurados de forma diferente do que é gerado pelo Rails não são afetados.
**Recomendações**
Para usuários do Spree 4.3, atualize para o spree auth devise 4.4.1.
Para usuários do Spree 4.2, atualize para o spree auth devise 4.2.1.
Para usuários do Spree 4.1, atualize para o spree auth devise 4.1.1.
Para usuários de versões mais antigas do Spree, atualize para o spree auth devise 4.0.1.
Como solução temporária, considere alterar a estratégia para `:exception` adicionando o seguinte código ao `config/application.rb`:
```ruby
config.after initialize do
Spree::UsersController.protect from forgery with: :exception
end
```
Como alternativa, altere a estratégia para `:exception` no `ApplicationController`:
```ruby
class ApplicationController < ActionController::Base
protect from forgery with: :exception
end
```