Vulnerabilità: CVE-2020-5290

In RedpwnCTF prima della versione 2.3, v’è una vulnerabilità fissazione sessione sfruttabile attraverso il `# gettone = $ ssid` hash quando si effettua una richiesta al` / verify` endpoint. Un team malintenzionato potrebbe potenzialmente rubare le bandiere, per esempio, sfruttando un carico utile XSS memorizzato in una sfida CTF modo che le squadre vittima che risolvono la sfida sono inconsapevolmente (e contro la loro volontà) firmato nella squadra attaccante & # 39; s conto. Quindi, l’utente malintenzionato può guadagnare punti / valore al largo delle spalle delle vittime. Questo è patchato nella versione 2.3.


https://github.com/redpwn/rctf/security/advisories/GHSA-p5fh-2vhw-fvpq
https://github.com/redpwn/rctf/issues/147
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5290


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi