一、 漏洞 CVE-2025-59843 基础信息
漏洞信息
                                        # FlagForgeCTF 用户邮箱泄露漏洞

## 概述

Flag Forge 是一个夺旗竞赛(CTF)平台。在版本 2.0.0 至 2.3.1 之前,公开接口 `/api/user/[username]` 在其 JSON 响应中返回用户的电子邮件地址,造成信息泄露。

## 影响版本

- 受影响版本:2.0.0 到 2.3.1(不含)
- 已修复版本:2.3.1 及以上版本

## 细节

- 漏洞接口:`/api/user/[username]`
- 泄露信息:用户电子邮件地址(email)
- 接口访问权限:公开,无需认证即可访问
- 修复方式:2.3.1 版本中从公开 API 响应中移除了电子邮件字段,同时保持接口可访问

## 影响

此漏洞允许攻击者通过构造特定请求,公开获取任意注册用户的电子邮件地址,可能用于后续的社会工程攻击或账户枚举等恶意行为。

## 建议

- 升级至 Flag Forge 2.3.1 或更高版本
- 无可用临时缓解方案(No workarounds)
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
FlagForgeCTF Exposes User Emails via Public /api/user/[username] API
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Flag Forge is a Capture The Flag (CTF) platform. From versions 2.0.0 to before 2.3.1, the public endpoint /api/user/[username] returns user email addresses in its JSON response. The problem has been patched in FlagForge version 2.3.1. The fix removes email addresses from public API responses while keeping the endpoint publicly accessible. Users should upgrade to version 2.3.1 or later to eliminate exposure. There are no workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
侵犯隐私
来源:美国国家漏洞数据库 NVD
漏洞标题
Flag Forge 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Flag Forge是FlagForge开源的一个易于使用的CTF平台。 Flag Forge 2.0.0版本至2.3.1之前版本存在安全漏洞,该漏洞源于公开端点/api/user/[username]返回用户电子邮件地址,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-59843 的公开POC
# POC 描述 源链接 神龙链接
1 CVE on FlagForge on versions 2.0.0 to 2.3.0. Upgrade to version 2.3.1 to fix the issue. https://github.com/At0mXploit/CVE-2025-59843-CVE-2025-59932 POC详情
三、漏洞 CVE-2025-59843 的情报信息
四、漏洞 CVE-2025-59843 的评论

暂无评论

发表评论