CVE-2024-11716
CVE-2024-11716
En resumen
Una falla en CTFd permite que un usuario autenticado cambie su asignación de equipo durante una competencia en curso, aunque debería elegir equipo solo una vez al registrarse. Esto afecta la equidad de la competencia permitiendo que los jugadores cambien de equipo durante el evento.
Detalle técnico
La vulnerabilidad existe en CTFd 3.7.0–3.7.4 debido a una validación incorrecta de la lógica al restablecer la asignación de bracket de un usuario. Un usuario autenticado puede activar un restablecimiento de bracket y reasignarse a un equipo diferente durante la competencia, eludiendo la restricción intencional de asignación única al equipo. Esto afecta la integridad y equidad de la competencia.
Resumen generado y traducido por IA a partir de la descripción oficial.
While assignment of a user to a team (bracket) in CTFd should be possible only once, at the registration, a flaw in logic implementation allows an authenticated user to reset it's bracket and then pick a new one, joining another team while a competition is already ongoing.
This issue impacts releases from 3.7.0 up to 3.7.4 and was addressed by pull request 2636 https://github.com/CTFd/CTFd/pull/2636 included in 3.7.5 release.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Productos afectados
CTFd · CTFd¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →