WordPress · Hi.Events · CVE-2026-60118
**Nome do Software Vulnerável e Versões Afetadas**
Hi.Events versões anteriores a 1.11.0
**Description**
A ausência de imposição de visibilidade no lado do servidor permite que atacantes não autenticados comprem ingressos ocultos. Ao referenciar IDs de produtos e preços ocultos em solicitações de criação de pedidos, os atacantes podem ignorar as verificações de autorização. Isso é possível através da enumeração de IDs de ingressos ocultos sequenciais com base em IDs visíveis para adquirir ingressos VIP, apenas para convidados ou com desconto que foram intencionalmente retirados da venda ao público.
**Recommendations**
Atualize o Hi.Events para a versão 1.11.0 ou posterior.