Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CTFd i koordynował proces ujawniania informacji.
Podczas gdy przypisanie użytkownika do zespołu (bracket) w CTFd powinno być możliwe tylko raz, podczas rejestracji, błąd w implementacji logiki pozwala uwierzytelnionemu użytkownikowi na zresetowanie swojej grupy i wybranie nowej. W rezultacie użytkownik może dołączyć do innej drużyny w trakcie trwania zawodów.
Problem ten otrzymał identyfikator CVE-2024-11716. Dotyczy on wersji od 3.7.0 do 3.7.4 i został naprawiony przez pull request 2636, uwzględnionym w wersji 3.7.5.
Tokeny w CTFd używane do aktywacji konta i resetowania hasła mogą być używane zamiennie do obu operacji. Podczas użycia są one wysyłane do serwera jako parametr GET i nie są jednorazowe. Oznacza to, iż w czasie ważności tokenu atakujący mający dostęp do transmisji danych lub historii przeglądarki może ponownie użyć takiego tokenu, aby zmienić hasło użytkownika i przejąć jego konto.
Dodatkowo tokeny zawierają w sobie zakodowany w base64 adres e-mail użytkownika.
Problem ten otrzymał identyfikator CVE-2024-11717. Dotyczy wszystkich wersji do 3.7.4 włącznie i został naprawiony przez pull request 2679, uwzględnionym w wersji 3.7.5.
Szczegóły techniczne znaleźć można w opisie przygotowanym przez znalazcę obu podatności.
Podziękowania
Za zgłoszenie podatności dziękujemy Błażejowi Adamczykowi (efigo.pl).
