Pretix · Pretix · CVE-2026-5600
Name of the Vulnerable Software and Affected Versions
pretix versão 2025
Description
Um novo endpoint da API no pretix 2025 retorna incorretamente todos os eventos de check-in pertencentes ao organizador, em vez do evento específico. Isso permite que um consumidor da API acesse informações de todos os eventos sob o mesmo organizador, mesmo aqueles aos quais não deveria ter acesso. Os registros contêm informações sobre o horário e o resultado de cada leitura de ingressos, bem como o ID do ingresso correspondente. A resposta da API inclui detalhes como `id`, `successful`, `error reason`, `position`, `datetime`, `list`, `created`, `auto checked in`, `gate`, `device`, `device id` e `type`.
Recommendations
Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao endpoint da API afetado.