Arinerron

**Nome do software vulnerável e versões afetadas** Versões do RedpwnCTF anteriores à 2.3 **Descrição** O problema está relacionado a uma vulnerabilidade de fixação de sessão que pode ser explorada por meio do hash `#token=$ssid` ao fazer uma solicitação ao endpoint “/verify”. Um invasor poderia potencialmente roubar flags explorando uma carga XSS armazenada em um desafio CTF, fazendo com que as equipes vítimas fossem conectadas à conta do invasor sem saber. Isso permite que o invasor ganhe pontos às custas das vítimas. **Recomendações** Para versões anteriores à 2.3, atualize para a versão 2.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/verify” ou desativar o uso do hash `#token=$ssid` até que a atualização seja aplicada. Evite usar o hash `#token=$ssid` no endpoint “/verify” até que o problema seja resolvido.