CVE-2025-61777 in flagForgeالمعلومات

الملخص

بحسب VulDB • 11/07/2026

Flag Forge هي منصة لبطولات "العلم الأسير" (Capture The Flag - CTF). بدءاً من الإصدار 2.0.0 وحتى قبل الإصدار 2.3.2، كانت نقاط النهاية `/api/admin/badge-templates` (GET) و `/api/admin/badge-templates/create` (POST) تتيح الوصول دون مصادقة أو تفويض. كان هذا الأمر قد يتيح للمستخدمين غير المصرح لهم استرداد جميع قوالب الشارات والبيانات الوصفية الحساسة (createdBy، createdAt، updatedAt) و/أو إنشاء أي قالب شارة عشوائي في قاعدة البيانات. وقد يؤدي ذلك إلى كشف البيانات، وتلويث قاعدة البيانات، أو إساءة استخدام نظام الشارات. تم إصلاح هذه المشكلة في FlagForge v2.3.2. تتطلب نقاط النهاية GET و POST و UPDATE و DELETE الآن مصادقة. تضمن فحوصات التفويض أن المشرفين فقط هم من يمكنهم الوصول إلى قوالب الشارات وتعديلها. لا تتوفر حلول بديلة موثوقة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

30/09/2025

إفشاء

06/10/2025

الاعتدال

تمت الموافقة

إدخال

VDB-327290

EPSS

0.00427

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!