CVE-2026-9097

Nome do Software Vulnerável e Versões Afetadas Casdoor versões anteriores a 2.362.1

Descrição O Casdoor não verifica se um JSON Web Token (JWT) usado para troca de tokens permanece ativo. A função GetTokenExchangeToken() em object/token oauth.go valida a assinatura do JWT e analisa suas reivindicações, mas não consulta a tabela Token para verificar se o token de assunto foi revogado ou invalidado. A ausência dessa verificação de revogação impede que os administradores encerrem sessões ativas ou revoguem tokens comprometidos.

Recomendações Atualize para uma versão posterior a 2.362.0.