Plataforma
other
Componente
flagforge
Corregido en
2.0.1
El CVE-2025-61777 afecta a la plataforma CTF flagForge, específicamente en las versiones desde 2.0.0 hasta la 2.3.1. Esta vulnerabilidad se debe a la falta de autenticación en los endpoints /api/admin/badge-templates (GET) y /api/admin/badge-templates/create (POST), permitiendo el acceso no autorizado. La explotación exitosa puede resultar en la exposición de datos sensibles y la manipulación de la base de datos, y ha sido solucionada en la versión 2.3.2.
La ausencia de autenticación en estos endpoints permite a cualquier usuario, sin necesidad de credenciales válidas, acceder a la información de las plantillas de insignias (createdBy, createdAt, updatedAt) y, lo que es más grave, crear plantillas arbitrarias en la base de datos. Esto representa un riesgo significativo para la integridad y confidencialidad de la plataforma CTF. Un atacante podría, por ejemplo, crear plantillas maliciosas que comprometan la lógica del juego o robar información sensible almacenada en las plantillas. La capacidad de modificar la base de datos también abre la puerta a ataques de inyección y otros tipos de manipulación, lo que podría llevar a la completa toma de control de la plataforma.
Este CVE ha sido publicado el 6 de octubre de 2025. No se ha reportado su explotación activa en campañas conocidas, pero la severidad crítica (CVSS 9.4) indica una alta probabilidad de ser explotado si no se toman medidas correctivas. La falta de autenticación es un vector de ataque común y, dada la naturaleza de flagForge como plataforma CTF, podría ser un objetivo atractivo para atacantes que buscan comprometer la integridad de los desafíos y la información de los usuarios.
CTF platform administrators and users are at risk. Specifically, organizations hosting FlagForge instances, particularly those with publicly accessible administration interfaces, are vulnerable. Shared hosting environments running FlagForge are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server: Monitor access logs for requests to /api/admin/badge-templates without authentication headers. Use journalctl to filter for FlagForge API requests and look for unauthorized access attempts.
journalctl -u flagforge -g '/api/admin/badge-templates' -f | grep -i "401 Unauthorized" # Check for failed authentication attempts• generic web: Use curl to attempt accessing the /api/admin/badge-templates endpoint without authentication headers and verify that access is denied after the fix.
curl -I http://<flagforge_host>/api/admin/badge-templates• database (mysql, postgresql): If database access is possible, query the badge_templates table for any unexpected or suspicious entries created after the vulnerability disclosure date.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar flagForge a la versión 2.3.2 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Aunque no son una solución completa, se pueden considerar reglas en un Web Application Firewall (WAF) para bloquear el acceso no autorizado a los endpoints afectados, restringiendo el acceso solo a direcciones IP autorizadas o requiriendo autenticación adicional. Además, se debe revisar la configuración del servidor web para asegurar que no se permita el acceso anónimo a la API de administración. Tras la actualización, verificar que los endpoints /api/admin/badge-templates y /api/admin/badge-templates/create requieran autenticación adecuada.
Actualice FlagForge a la versión 2.3.2 o posterior. Esta versión corrige la vulnerabilidad que permite el acceso no autenticado a las plantillas de insignias. La actualización requiere autenticación y autorización para acceder y modificar las plantillas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-61777 is a critical vulnerability in FlagForge versions 2.0.0 through 2.3.1 that allows attackers to access badge templates without authentication, potentially exposing sensitive data and enabling database manipulation.
If you are running FlagForge versions 2.0.0 through 2.3.1, you are vulnerable. Upgrade to version 2.3.2 or later to mitigate the risk.
The recommended fix is to upgrade to FlagForge version 2.3.2 or later. As a temporary workaround, implement authentication checks on the /api/admin/badge-templates endpoints.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for attacks. Continuous monitoring is recommended.
Refer to the official FlagForge security advisory for detailed information and updates: [https://flagforge.org/security/advisories](https://flagforge.org/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.