Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CTFd i koordynował proces ujawniania informacji.
Podczas gdy przypisanie użytkownika do zespołu (bracket) w CTFd powinno być możliwe tylko raz, podczas rejestracji, błąd w implementacji logiki pozwala uwierzytelnionemu użytkownikowi na zresetowanie swojej grupy i wybranie nowej. W rezultacie użytkownik może dołączyć do innej drużyny w trakcie trwania zawodów.
Problem ten otrzymał identyfikator CVE-2024-11716. Dotyczy on wersji od 3.7.0 do 3.7.4 i został naprawiony przez pull request 2636, uwzględnionym w wersji 3.7.5.
Tokeny w CTFd używane do aktywacji konta i resetowania hasła mogą być używane zamiennie do obu operacji. Podczas użycia są one wysyłane do serwera jako parametr GET i nie są jednorazowe. Oznacza to, iż w czasie ważności tokenu atakujący mający dostęp do transmisji danych lub historii przeglądarki może ponownie użyć takiego tokenu, aby zmienić hasło użytkownika i przejąć jego konto.
Dodatkowo tokeny zawierają w sobie zakodowany w base64 adres e-mail użytkownika.
Problem ten otrzymał identyfikator CVE-2024-11717. Dotyczy wszystkich wersji do 3.7.4 włącznie i został naprawiony przez pull request 2679, uwzględnionym w wersji 3.7.5.
Szczegóły techniczne znaleźć można w opisie przygotowanym przez znalazcę obu podatności.
Podziękowania
Za zgłoszenie podatności dziękujemy Błażejowi Adamczykowi (efigo.pl).
![Błędy w implementacji krzywej FourQ od Cloudflare pozwalały na odzyskanie klucza prywatnego [CVE-2025-8556]](https://sekurak.pl/wp-content/uploads/2023/04/ProXy_computer_is_hacking_man_ab39bc3e-6ce6-4c49-8c5d-37ad77c46bd4.png)
