CVE-2026-9094

Nome do Software Vulnerável e Versões Afetadas Casdoor versões anteriores a 2.362.1

Descrição Um problema permite a troca de tokens entre organizações. A função GetTokenExchangeToken() em object/token oauth.go valida assinaturas JWT, mas não verifica se o usuário do token pertence à mesma organização que a aplicação alvo, o que pode resultar em escalonamento de privilégios entre limites organizacionais.

Recomendações Atualize para uma versão posterior a 2.362.0. Como medida paliativa temporária, restrinja o acesso à função GetTokenExchangeToken() até que a atualização seja aplicada.