CVE-2025-61777 in flagForgeИнформация

Сводка

по VulDB • 10.07.2026

Flag Forge — это платформа для соревнований Capture The Flag (CTF). Начиная с версии 2.0.0 и вплоть до версии 2.3.2 включительно, конечные точки `/api/admin/badge-templates` (GET) и `/api/admin/badge-templates/create` (POST) ранее позволяли доступ без аутентификации или авторизации. Это могло позволить неавторизованным пользователям получать все шаблоны значков и чувствительные метаданные (createdBy, createdAt, updatedAt), а также создавать произвольные шаблоны значков в базе данных. Такое поведение могло привести к утечке данных, загрязнению базы данных или злоупотреблению системой значков. Проблема исправлена в FlagForge v2.3.2. Конечные точки GET, POST, UPDATE и DELETE теперь требуют аутентификации. Проверки авторизации гарантируют, что доступ к шаблонам значков и возможность их изменения имеют только администраторы. Надежных обходных решений не существует.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

30.09.2025

Раскрытие

06.10.2025

Модерация

принято

Вход

VDB-327290

EPSS

0.00427

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!