NVD-CVE-2025-61777
CVE-2025-61777Detalle
Este registro CVE se ha publicado recientemente en la lista CVE y se ha incluido dentro del conjunto de datos NVD.
Descripción
Flag Forge es una plataforma Capture the Flag (CTF). Comenzando en la versión 2.0.0 y antes de la versión 2.3.2, el `/API/Admin/Badge-Templates` (GET) y`/API/Admin/Badge-Templates/Create` (POST) Puntos finales previamente permitidos el acceso sin autenticación o autorización. Esto podría haber permitido a los usuarios no autorizados recuperar todas las plantillas de insignias y metadatos sensibles (creado, creado, actualizado) y/o crear plantillas de insignias arbitrarias en la base de datos. Esto podría conducir a la exposición a los datos, la contaminación de la base de datos o el abuso del sistema de insignias. El problema se ha solucionado en FlagForge v2.3.2. Obtener, publicar, actualizar y eliminar puntos finales ahora requieren autenticación. Los controles de autorización aseguran que solo los administradores puedan acceder y modificar las plantillas de insignias. No hay soluciones confiables disponibles.
Métrica
Los esfuerzos de enriquecimiento de NVD hacen referencia a la información pública disponible para las cadenas de vectores asociados. También se muestra la información de CVSS aportada por otras fuentes.
Referencias a avisos, soluciones y herramientas
Al seleccionar estos enlaces, dejará el espacio web NIST. Hemos proporcionado estos enlaces a otros sitios web porque pueden tener información que le interesara. No se deben realizar inferencias debido a que otros sitios se hacen referencia, o no, de esta página. Puede haber otros sitios web que sean más apropiados para su propósito. NIST no necesariamente respalda los puntos de vista expresados, ni coincide con los hechos presentados en estos sitios. Además, NIST no respalda ningún producto comercial que se pueda mencionar en estos sitios. Dirija los comentarios sobre esta página a [email protected].
Enumeración de debilidad
| ID CWE | Nombre de CWE | Fuente |
|---|---|---|
|
CWE-306 |
Falta de autenticación para la función crítica |
Github, Inc. |
|
CWE-284 |
Control de acceso incorrecto |
Github, Inc. |
|
CWE-200 |
Exposición de información confidencial a un actor no autorizado |
Github, Inc. |
Historia de cambio
1 Registros de cambio encontrados mostrar cambios
Nuevo CVE recibido de Github, Inc. 10/06/2025 1:16:08 PM
| Acción | Tipo | Valor antiguo | Nuevo valor |
|---|---|---|---|
| Agregado | Descripción |
|
Flag Forge is a Capture The Flag (CTF) platform. Starting in version 2.0.0 and prior to version 2.3.2, the `/api/admin/badge-templates` (GET) and `/api/admin/badge-templates/create` (POST) endpoints previously allowed access without authentication or authorization. This could have enabled unauthorized users to retrieve all badge templates and sensitive metadata (createdBy, createdAt, updatedAt) and/or create arbitrary badge templates in the database. This could lead to data exposure, database pollution, or abuse of the badge system. The issue has been fixed in FlagForge v2.3.2. GET, POST, UPDATE, and DELETE endpoints now require authentication. Authorization checks ensure only admins can access and modify badge templates. No reliable workarounds are available.
|
| Agregado | CVSS v3.1 |
|
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
|
| Agregado | CWE |
|
CWE-200
|
| Agregado | CWE |
|
CWE-284
|
| Agregado | CWE |
|
CWE-306
|
| Agregado | Referencia |
|
https://github.com/FlagForgeCTF/flagForge/commit/e2121c5fb7a512a49dcd875812c944265fb1a846
|
| Agregado | Referencia |
|
https://github.com/FlagForgeCTF/flagForge/security/advisories/GHSA-26rx-c53q-rjf9
|
Información rápida
Entrada del diccionario CVE:
CVE-2025-61777
Fecha publicada de NVD:
10/06/2025
NVD Última modificación:
10/06/2025
Fuente:
Github, Inc.