Katalog CVE

CVE-2026-9091

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Casdoor 2.362.0 i wcześniejsze zawierają błąd logiczny w procesie powiązania logowania społecznościowego, który pozwala użytkownikom na ominięcie wymagań dotyczących wieloskładnikowego uwierzytelniania (MFA). Kod reguły powiązania w pliku controllers/auth.go wywołuje HandleLoggedIn bez sprawdzania włączenia MFA.

Ocena ryzyka

Ominięcie wymagań MFA stwarza poważne ryzyko dla bezpieczeństwa organizacji, umożliwiając nieautoryzowanym użytkownikom dostęp do kont bez dodatkowej weryfikacji. Może to prowadzić do naruszenia danych i utraty zaufania klientów.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Casdoor, aby usunąć ten błąd logiczny. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że MFA jest skutecznie wdrożone w innych częściach systemu.

Oryginalny opis (angielski, źródło NVD)

Casdoor versions 2.362.0 and earlier contain a logic flaw in the social‑login binding flow that allows users to bypass configured MFA requirements. The binding‑rule code path in controllers/auth.go calls HandleLoggedIn directly without invoking checkMfaEnable. Any user authenticating via this path is logged in without MFA enforcement.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS