PT-2026-44425 · Casdoor+1 · Casdoor+1
David Lie
+4
·
Publicado
2026-05-28
·
Atualizado
2026-05-29
·
CVE-2026-9096
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
Casdoor versões anteriores a 2.363.0
Descrição
O Casdoor não impõe os limites de tempo de asserção SAML. A biblioteca
gosaml2 calcula os resultados de validação de tempo, como NotOnOrAfter e NotBefore, e os reporta no campo assertionInfo.WarningInfo. No entanto, a função ParseSamlResponse() não lê este campo, fazendo com que os limites de tempo sejam descartados antes da emissão da sessão do usuário.Recomendações
Atualize para uma versão posterior a 2.362.0.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Casdoor
Gosaml2