Casdoor SCIM User Creation Endpoint scim.go HandleScim authorization 漏洞信息(CVE-2025-4210)

一、漏洞 CVE-2025-4210 基础信息

漏洞信息

                                        # Casdoor SCIM 用户创建Endpoint scim.go HandleScim 授权问题

## 概述
在 Casdoor 中发现了一个被归类为关键级别的漏洞，影响版本为 1.811.0 及以下版本。该漏洞存在于 `controllers/scim.go` 文件中的 HandleScim 函数，涉及 SCIM User Creation Endpoint 组件。此漏洞导致授权绕过，攻击者可远程发起攻击。

## 影响版本
- 漏洞影响版本：1.811.0 及以下版本
- 修补版本：1.812.0

## 细节
漏洞存在于 `controllers/scim.go` 文件中的 HandleScim 函数，涉及 SCIM User Creation Endpoint 组件。攻击者可以利用此漏洞绕过授权，并且攻击可以远程发起。

## 影响
该漏洞允许远程攻击者绕过授权，从而可能执行未经授权的操作。升级到 1.812.0 版本可以解决此问题。修补补丁的名称为 `3d12ac8dc2282369296c3386815c00a06c6a92fe`。建议升级到受影响组件的最新版本。

神龙判断

是否为 Web 类漏洞： 是

判断理由：

是。这个漏洞影响了Casdoor的SCIM用户创建端点的HandleScim函数，导致授权绕过，可以远程发起攻击，因此是一个Web服务的服务端漏洞。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Casdoor SCIM User Creation Endpoint scim.go HandleScim authorization

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability classified as critical was found in Casdoor up to 1.811.0. This vulnerability affects the function HandleScim of the file controllers/scim.go of the component SCIM User Creation Endpoint. The manipulation leads to authorization bypass. The attack can be initiated remotely. Upgrading to version 1.812.0 is able to address this issue. The name of the patch is 3d12ac8dc2282369296c3386815c00a06c6a92fe. It is recommended to upgrade the affected component.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

通过用户控制密钥绕过授权机制

来源：美国国家漏洞数据库 NVD

漏洞标题

Casdoor 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Casdoor是Casdoor开源的一个支持多种身份验证和授权协议的开源平台。 Casdoor 1.811.0及之前版本存在安全漏洞，该漏洞源于授权绕过，可能导致未经授权的访问。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-4210 的公开POC

#	POC 描述	源链接	神龙链接
1	Casdoor up to 1.811.0 contains an authorization bypass caused by manipulation in HandleScim function in controllers/scim.go, letting remote attackers bypass authorization, exploit requires remote access.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-4210.yaml	POC详情

三、漏洞 CVE-2025-4210 的情报信息

标题： feat: improve HandleScim() · casdoor/casdoor@3d12ac8 · GitHub -- 🔗来源链接
标签：patch
标题： Release v1.812.0 · casdoor/casdoor · GitHub -- 🔗来源链接
标签：patch
标题： Login required -- 🔗来源链接
标签：signaturepermissions-required
标题： Submit #556201: Casbin Casdoor v1.430.0-v1.812.0 Authorization Bypass -- 🔗来源链接
标签：third-party-advisory
标题： CVE-2025-4210 Casdoor SCIM User Creation Endpoint scim.go HandleScim authorization -- 🔗来源链接
标签：vdb-entrytechnical-description
https://nvd.nist.gov/vuln/detail/CVE-2025-4210

四、漏洞 CVE-2025-4210 的评论

匿名用户

2026-01-15 06:08:29

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-4210 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-4210 的公开POC

三、漏洞 CVE-2025-4210 的情报信息

四、漏洞 CVE-2025-4210 的评论

匿名用户

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-4210 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-4210 的公开POC

三、漏洞 CVE-2025-4210 的情报信息

四、漏洞 CVE-2025-4210 的评论

匿名用户

发表评论

一、漏洞 CVE-2025-4210 基础信息