CVE-2026-9096
WysokieCVSS 7.5Streszczenie
Wersje Casdoor 2.362.0 i wcześniejsze nie egzekwują ograniczeń czasowych dla asercji SAML. Biblioteka gosaml2 raportuje wyniki walidacji czasowej, jednak funkcja ParseSamlResponse() nie odczytuje tych informacji, co prowadzi do ich cichego zignorowania przed wydaniem sesji użytkownika.
Ocena ryzyka
Brak egzekwowania ograniczeń czasowych może prowadzić do nieautoryzowanego dostępu do zasobów, co stwarza poważne ryzyko dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do nowszej wersji Casdoor, która poprawia obsługę ograniczeń czasowych dla asercji SAML oraz przegląd konfiguracji zabezpieczeń SAML.
Oryginalny opis (angielski, źródło NVD)
Casdoor versions 2.362.0 and earlier do not enforce SAML assertion time bounds. The gosaml2 library reports all time-validation results, including NotOnOrAfter and NotBefore, in the assertionInfo.WarningInfo field. However, ParseSamlResponse() never reads this field, meaning that time bounds are computed by the library but silently discarded before the user session is issued.

