CVE-2024-41658— Casdoor 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2024-41658の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
GHSL-2024-036: Reflected XSS in QrCodePage.js
ソース: NVD (National Vulnerability Database)
脆弱性説明
Casdoor is a UI-first Identity and Access Management (IAM) / Single-Sign-On (SSO) platform. In Casdoor 1.577.0 and earlier, he purchase URL that is created to generate a WechatPay QR code is vulnerable to reflected XSS. When purchasing an item through casdoor, the product page allows you to pay via wechat pay. When using wechat pay, a QR code with the wechat pay link is displayed on the payment page, hosted on the domain of casdoor. This page takes a query parameter from the url successUrl, and redirects the user to that url after a successful purchase. Because the user has no reason to think that the payment page contains sensitive information, they may share it with other or can be social engineered into sending it to others. An attacker can then craft the casdoor link with a special url and send it back to the user, and once payment has gone though an XSS attack occurs.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Casdoor 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Casdoor是Casdoor开源的一个支持多种身份验证和授权协议的开源平台。 Casdoor 1.577.0 版本及之前版本存在安全漏洞,该漏洞源于用于生成微信支付二维码的购买 URL 容易受到反射型跨站脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2024-41658の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2024-41658のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じ製品: casdoor
- CVE-2026-5469
Casdoor Webhook URL server-side request forgery - CVE-2026-5468
Casdoor dangerouslySetInnerHTML cross site scripting - CVE-2026-5467
Casdoor OAuth Authorization Request redirect - CVE-2025-4210
Casdoor SCIM User Creation Endpoint scim.go HandleScim autho - CVE-2024-41657
GHSL-2024-035: Casdoor CORS misconfiguration
同じ弱点: CWE-79
- CVE-2026-8262
Devs Palace ERP Online chart-save cross site scripting - CVE-2026-8256
Devs Palace ERP Online mr-save cross site scripting - CVE-2026-8255
Devs Palace ERP Online add_new_customer cross site scripting - CVE-2026-8254
Devs Palace ERP Online sales_save cross site scripting - CVE-2026-8253
Devs Palace ERP Online purchase_save cross site scripting
V. CVE-2024-41658へのコメント
まだコメントはありません