CVE-2025-61777 in flagForge情報

要約

〜によって VulDB • 2026年07月12日

Flag ForgeはCapture The Flag (CTF)プラットフォームです。バージョン2.0.0以降で、バージョン2.3.2より前のバージョンにおいて、`/api/admin/badge-templates`(GET)および `/api/admin/badge-templates/create`(POST)エンドポイントは認証または認可なしにアクセス可能でした。これにより、不正なユーザーがすべてのバッジテンプレートと機密メタデータ(createdBy, createdAt, updatedAt)を取得したり、データベース内に任意のバッジテンプレートを作成したりすることができました。これはデータの漏洩、データベースの汚染、またはバッジシステムの悪用につながる可能性があります。この問題はFlagForge v2.3.2で修正されました。GET、POST、UPDATE、およびDELETEエンドポイントには現在認証が必要です。認可チェックにより、管理者のみがバッジテンプレートにアクセスして変更できるようになりました。信頼できる回避策はありません。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2025年09月30日

モデレーション

承諾済み

エントリ

VDB-327290

EPSS

0.00427

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!