# Chall-Manager 的场景解码过程不会检查 zip炸弹
## 概述
Chall-Manager 是一个平台无关的系统,能够根据玩家需求启动挑战。在解码场景(即一个 ZIP 归档文件)时,未检查解码内容的大小,可能导致 ZIP 炸弹的解压缩。
## 影响版本
- v0.1.4 之前的版本
## 细节
当解码场景(ZIP 归档)时,Chall-Manager 未检查解码内容的大小。这可能导致 ZIP 炸弹的解压缩,进而消耗大量计算资源。该漏洞未要求身份验证,任何人都可以利用。
## 影响
尽管没有身份验证要求,但通常建议将 Chall-Manager 深埋在基础设施中,以防止用户直接访问。补丁已在 commit 14042aa 中实现,并在 v0.1.4 版本中发布。
# | POC 描述 | 源链接 | 神龙链接 |
---|
标题: Scenario decoding process does not check for zip bombs · Advisory · ctfer-io/chall-manager · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读标题: impr: handle archive size on unzip to avoid zip bombing (DoS) · ctfer-io/chall-manager@14042aa · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读