CVE-2021-43846

**Nome do software vulnerável e versões afetadas:

versões do solidus frontend anteriores à 3.1.5

versões do solidus frontend anteriores à 3.0.5

versões do solidus frontend anteriores à 2.11.14

Descrição:

O problema é uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que permite que um site malicioso adicione um item ao carrinho do usuário sem o seu conhecimento. Isso é feito explorando a ação “Adicionar ao carrinho”, que anteriormente não possuía verificação de token CSRF. A vulnerabilidade pode ser explorada enviando uma solicitação POST para o endpoint /orders/populate com os parâmetros variant id e quantity. Por exemplo, um invasor poderia enviar uma solicitação para http://localhost:3000/orders/populate com os parâmetros variant id=2 e quantity=1. Para mitigar isso, o patch adiciona verificação de token CSRF à ação “Adicionar ao carrinho”.

Recomendações:

Para versões anteriores à 3.1.5, atualize para a versão 3.1.5 ou posterior.

Para versões anteriores à 3.0.5, atualize para a versão 3.0.5 ou posterior.

Para versões anteriores à 2.11.14, atualize para a versão 2.11.14 ou posterior.

Como solução temporária, considere adicionar o seguinte código ao config/application.rb:

config.after initialize do

 Spree::OrdersController.protect from forgery with: ApplicationController.forgery protection strategy.name.demodulize.underscore.to sym, only: [:populate]

end