PT-2021-23235 · Unknown · Spree Auth Devise
Waiting-For-Dev
·
Publicado
2021-11-17
·
Atualizado
2023-03-01
·
CVE-2021-41275
CVSS v3.1
9.3
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do spree auth devise anteriores à 4.0.1
Versões do spree auth devise anteriores à 4.1.1
Versões do spree auth devise anteriores à 4.2.1
Versões do spree auth devise anteriores à 4.4.1
Descrição
O problema é uma vulnerabilidade CSRF que permite a apropriação da conta do usuário. Todos os aplicativos que utilizam qualquer versão do componente front-end do
spree auth devise são afetados se o método protect from forgery for executado tanto como um callback before action quanto como um prepend before action antes do gancho :load object no Spree::UserController, e estiver configurado para usar as estratégias :null session ou :reset session. Aplicativos que não tenham sido configurados de forma diferente do que é gerado pelo Rails não são afetados.Recomendações
Para usuários do Spree 4.3, atualize para o spree auth devise 4.4.1.
Para usuários do Spree 4.2, atualize para o spree auth devise 4.2.1.
Para usuários do Spree 4.1, atualize para o spree auth devise 4.1.1.
Para usuários de versões mais antigas do Spree, atualize para o spree auth devise 4.0.1.
Como solução temporária, considere alterar a estratégia para
:exception adicionando o seguinte código ao config/application.rb:ruby
config.after initialize do
Spree::UsersController.protect from forgery with: :exception
end
Como alternativa, altere a estratégia para
:exception no ApplicationController:ruby
class ApplicationController < ActionController::Base
protect from forgery with: :exception
end
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spree Auth Devise