https://blog.qife122.com/tags/casdoor/ Recent content in Casdoor on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 03:31:46 +0800 https://blog.qife122.com/p/casdoor-2.95.0-csrf%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E8%AF%A6%E6%83%85%E4%B8%8Epoc%E5%88%86%E6%9E%90/ Mon, 12 Jan 2026 03:31:46 +0800 https://blog.qife122.com/p/casdoor-2.95.0-csrf%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E8%AF%A6%E6%83%85%E4%B8%8Epoc%E5%88%86%E6%9E%90/ <h1 id="漏洞标题-casdoor-2950---跨站请求伪造-csrf">漏洞标题: Casdoor 2.95.0 - 跨站请求伪造 (CSRF)</h1> <h1 id="应用-casdoor">应用: Casdoor</h1> <h1 id="版本-v2950-2025-10-22">版本: v2.95.0 (2025-10-22)</h1> <h1 id="日期-2025-10-23">日期: 2025-10-23</h1> <h1 id="漏洞作者-van-lam-nguyen">漏洞作者: Van Lam Nguyen</h1> <h1 id="厂商主页">厂商主页: <a href="https://casdoor.org/">https://casdoor.org/</a></h1> <h1 id="软件链接">软件链接: <a href="https://github.com/casdoor/casdoor/archive/refs/tags/v2.95.0.zip">https://github.com/casdoor/casdoor/archive/refs/tags/v2.95.0.zip</a></h1> <h1 id="测试平台-windows">测试平台: Windows</h1> <h1 id="cve--cve-2023-34927-最新编号待分配">CVE : CVE-2023-34927 (最新编号待分配)</h1> <h2 id="概述">概述</h2> <p>================================================== 发现 Casdoor v2.95.0 及更早版本在 <code>/api/set-password</code> 端点存在跨站请求伪造 (CSRF) 漏洞。此漏洞允许攻击者通过提供特制的 URL 任意更改受害用户的密码。</p>