一、 漏洞 CVE-2025-53633 基础信息
漏洞信息
                                        # Chall-Manager 的场景解码过程不会检查 zip炸弹

## 概述
Chall-Manager 是一个平台无关的系统,能够根据玩家需求启动挑战。在解码场景(即一个 ZIP 归档文件)时,未检查解码内容的大小,可能导致 ZIP 炸弹的解压缩。

## 影响版本
- v0.1.4 之前的版本

## 细节
当解码场景(ZIP 归档)时,Chall-Manager 未检查解码内容的大小。这可能导致 ZIP 炸弹的解压缩,进而消耗大量计算资源。该漏洞未要求身份验证,任何人都可以利用。

## 影响
尽管没有身份验证要求,但通常建议将 Chall-Manager 深埋在基础设施中,以防止用户直接访问。补丁已在 commit 14042aa 中实现,并在 v0.1.4 版本中发布。
                                        
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Chall-Manager's scenario decoding process does not check for zip bombs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Chall-Manager is a platform-agnostic system able to start Challenges on Demand of a player. When decoding a scenario (i.e. a zip archive), the size of the decoded content is not checked, potentially leading to zip bombs decompression. Exploitation does not require authentication nor authorization, so anyone can exploit it. It should nonetheless not be exploitable as it is highly recommended to bury Chall-Manager deep within the infrastructure due to its large capabilities, so no users could reach the system. Patch has been implemented by commit 14042aa and shipped in v0.1.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不对称的资源消耗(放大攻击)
来源:美国国家漏洞数据库 NVD
漏洞标题
Chall-Manager 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Chall-Manager是CTFer.io开源的一个开源项目。 Chall-Manager 0.1.4之前版本存在安全漏洞,该漏洞源于解压zip文件时未检查内容大小,可能导致zip炸弹解压。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53633 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-53633 的情报信息
  • 标题: Release v0.1.4 · ctfer-io/chall-manager · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
  • 标题: Scenario decoding process does not check for zip bombs · Advisory · ctfer-io/chall-manager · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
  • 标题: impr: handle archive size on unzip to avoid zip bombing (DoS) · ctfer-io/chall-manager@14042aa · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
  • https://nvd.nist.gov/vuln/detail/CVE-2025-53633