CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-9091

Medium
Published: Translated: NVD NIST

Summary

Wersje Casdoor 2.362.0 i wcześniejsze zawierają błąd logiczny w procesie powiązania logowania społecznościowego, który pozwala użytkownikom na ominięcie wymagań dotyczących wieloskładnikowego uwierzytelniania (MFA). Kod reguły powiązania w pliku controllers/auth.go wywołuje HandleLoggedIn bez sprawdzania włączenia MFA.

Risk Assessment

Ominięcie wymagań MFA stwarza poważne ryzyko dla bezpieczeństwa organizacji, umożliwiając nieautoryzowanym użytkownikom dostęp do kont bez dodatkowej weryfikacji. Może to prowadzić do naruszenia danych i utraty zaufania klientów.

Recommendation

Zaleca się aktualizację do najnowszej wersji Casdoor, aby usunąć ten błąd logiczny. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że MFA jest skutecznie wdrożone w innych częściach systemu.

Original NVD description (English source)

Casdoor versions 2.362.0 and earlier contain a logic flaw in the social‑login binding flow that allows users to bypass configured MFA requirements. The binding‑rule code path in controllers/auth.go calls HandleLoggedIn directly without invoking checkMfaEnable. Any user authenticating via this path is logged in without MFA enforcement.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS