关键漏洞信息 CVE编号: CVE-2025-61524 描述: Casdoor在2.62.0之前的版本中,权限验证模块和组织/应用编辑接口存在一个问题,允许远程攻击者通过特定的URL操作绕过权限控制。 漏洞类型: 错误访问控制 受影响产品: Casdoor 受影响版本: v2.62.0及以下 影响: 拒绝服务、权限提升 攻击向量: 只需一个管理员账户即可利用此漏洞,通过拼接URL来清除配置或修改默认应用配置。 发现与参考 发现者: Developer Huang 参考链接: - GitHub仓库 - 相关提交 漏洞细节 基本介绍: Casdoor系统存在一个设计缺陷,允许管理员在系统内越权操作。 修复版本: v2.62.0及以上。 风险评级: 中等至严重,可能导致未经授权的数据修改和破坏。 详细描述: 攻击者可以利用管理员账户对整个系统发起攻击,包括清除配置、提升权限、信息泄露和劫持用户等。 影响范围 受影响产品: 所有低于v2.62.0的Casdoor实例。 受影响用户: 所有用户(包括管理员、普通用户等)和任何组织下的应用。 其他注意事项 恶意利用: 仅用于安全测试和漏洞披露,不得用于恶意目的。 复现步骤: 包括环境准备、创建自定义组织、切换组织、篡改设置等详细步骤。