GHSL-2024-035:Casdoor CORS 配置错误(CVE-2024-41657)
CVE编号
CVE-2024-41657利用情况
暂无补丁情况
N/A披露时间
2024-08-21漏洞描述
Casdoor是一个以用户界面优先的身份和访问管理(IAM)/单点登录(SSO)平台。在Casdoor 1.577.0及更早版本中,beego过滤器CorsFilter存在一个逻辑漏洞,允许任何网站以登录用户的身份进行跨域请求到Casdoor。由于身份验证时仅检查前缀,任何域都可以创建一个带有有效子域名前缀的有效子域(例如:localhost.example.com),从而使该网站能够以当前登录用户的身份向Casdoor发出请求。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/casdoor/casdoor/blob/v1.577.0/routers/cors_filter.go | |
| https://securitylab.github.com/advisories/GHSL-2024-035_GHSL-2024-036_casdoor/ |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论