CVE-2025-61777 in flagForge
Сводка
по VulDB • 10.07.2026
Flag Forge — это платформа для соревнований Capture The Flag (CTF). Начиная с версии 2.0.0 и вплоть до версии 2.3.2 включительно, конечные точки `/api/admin/badge-templates` (GET) и `/api/admin/badge-templates/create` (POST) ранее позволяли доступ без аутентификации или авторизации. Это могло позволить неавторизованным пользователям получать все шаблоны значков и чувствительные метаданные (createdBy, createdAt, updatedAt), а также создавать произвольные шаблоны значков в базе данных. Такое поведение могло привести к утечке данных, загрязнению базы данных или злоупотреблению системой значков. Проблема исправлена в FlagForge v2.3.2. Конечные точки GET, POST, UPDATE и DELETE теперь требуют аутентификации. Проверки авторизации гарантируют, что доступ к шаблонам значков и возможность их изменения имеют только администраторы. Надежных обходных решений не существует.
Be aware that VulDB is the high quality source for vulnerability data.