pwn.college has Symlink LFI in Dojo repos 漏洞信息(CVE-2025-24886)

一、漏洞 CVE-2025-24886 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

pwn.college Dojo仓库中存在符号链接LFI漏洞

来源：AIGC 神龙大模型

漏洞描述信息

pwn.college 是一个用于学习和实践核心网络安全概念的教育平台。由于用户指定的训练环境中的符号链接检查不正确，允许用户（无需管理员权限）从CTFd容器执行LFI（本地文件包含）攻击。当用户克隆或更新仓库时，会检查该仓库是否包含任何符号链接。恶意用户可以构造一个包含指向敏感文件的符号链接的仓库，然后通过CTFd网站获取这些敏感文件。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

在文件访问前对链接解析不恰当(链接跟随)

来源：AIGC 神龙大模型

漏洞标题

pwn.college has Symlink LFI in Dojo repos

来源：美国国家漏洞数据库 NVD

漏洞描述信息

pwn.college is an education platform to learn about, and practice, core cybersecurity concepts in a hands-on fashion. Incorrect symlink checks on user specified dojos allows for users (admin not required) to perform an LFI from the CTFd container. When a user clones or updates repositories, a check is performed to see if the repository had contained any symlinks. A malicious user could craft a repository with symlinks pointed to sensitive files and then retrieve them using the CTFd website.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-24886 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-24886 的情报信息

标题： Symlink LFI in Dojo repos · Advisory · pwncollege/dojo · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2025-24886

一、 漏洞 CVE-2025-24886 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-24886 的公开POC

三、漏洞 CVE-2025-24886 的情报信息

一、漏洞 CVE-2025-24886 基础信息