CVE-2026-5468Casdoor 2.356.0版本近日披露存在一处安全漏洞,核心问题出在前端dangerouslySetInnerHTML函数的不安全使用。攻击者通过精心构造formCss、formCssMobile或formSideHtml参数,能够注入恶意代码。尽管该漏洞需要低权限及用户交互才能触发,且官方CVSS评分为低危,但它仍可能导致反射型或存储型跨站脚本攻击,从而窃取用户凭证或进行会话劫持,对系统完整性构成威胁。
该漏洞的根本原因在于Casdoor在渲染Web界面时,对特定表单配置参数的处理不当。具体而言,应用程序直接将用户可控的formCss、formCssMobile或formSideHtml参数的值传递给了前端React组件的dangerouslySetInnerHTML属性。在React开发规范中,使用该属性意味着开发者明确信任插入的HTML内容,这会自动绕过React框架内置的XSS防护机制(即HTML实体转义)。攻击者利用这一缺陷,可以在上述参数中注入恶意的HTML标签及JavaScript脚本。由于漏洞参数涉及表单样式的配置,通常需要管理员权限或特定交互才能修改,但一旦注入成功,任何访问该配置页面的用户都会触发XSS攻击,导致会话令牌泄露或账户被劫持。