CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-9096

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

Wersje Casdoor 2.362.0 i wcześniejsze nie egzekwują ograniczeń czasowych dla asercji SAML. Biblioteka gosaml2 raportuje wyniki walidacji czasowej, jednak funkcja ParseSamlResponse() nie odczytuje tych informacji, co prowadzi do ich cichego zignorowania przed wydaniem sesji użytkownika.

Risk Assessment

Brak egzekwowania ograniczeń czasowych może prowadzić do nieautoryzowanego dostępu do zasobów, co stwarza poważne ryzyko dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do nowszej wersji Casdoor, która poprawia obsługę ograniczeń czasowych dla asercji SAML oraz przegląd konfiguracji zabezpieczeń SAML.

Original NVD description (English source)

Casdoor versions 2.362.0 and earlier do not enforce SAML assertion time bounds. The gosaml2 library reports all time-validation results, including NotOnOrAfter and NotBefore, in the assertionInfo.WarningInfo field. However, ParseSamlResponse() never reads this field, meaning that time bounds are computed by the library but silently discarded before the user session is issued.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS