CVE-2026-9091
ŚrednieStreszczenie
Wersje Casdoor 2.362.0 i wcześniejsze zawierają błąd logiczny w procesie powiązania logowania społecznościowego, który pozwala użytkownikom na ominięcie wymagań dotyczących wieloskładnikowego uwierzytelniania (MFA). Kod reguły powiązania w pliku controllers/auth.go wywołuje HandleLoggedIn bez sprawdzania włączenia MFA.
Ocena ryzyka
Ominięcie wymagań MFA stwarza poważne ryzyko dla bezpieczeństwa organizacji, umożliwiając nieautoryzowanym użytkownikom dostęp do kont bez dodatkowej weryfikacji. Może to prowadzić do naruszenia danych i utraty zaufania klientów.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Casdoor, aby usunąć ten błąd logiczny. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że MFA jest skutecznie wdrożone w innych częściach systemu.
Oryginalny opis (angielski, źródło NVD)
Casdoor versions 2.362.0 and earlier contain a logic flaw in the social‑login binding flow that allows users to bypass configured MFA requirements. The binding‑rule code path in controllers/auth.go calls HandleLoggedIn directly without invoking checkMfaEnable. Any user authenticating via this path is logged in without MFA enforcement.

