PT-2025-42698 · WordPress · Event Tickets/Registration
Jack Pas
·
Publicado
2025-10-18
·
Atualizado
2025-10-18
·
CVE-2025-11517
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin Event Tickets and Registration para WordPress versões anteriores à 5.26.6
Descrição
O plugin Event Tickets and Registration para WordPress possui uma falha que permite contornar o pagamento de ingressos. O endpoint da API
/wp-json/tribe/tickets/v1/commerce/free/order não verifica adequadamente se um tipo de ingresso deveria ser gratuito, permitindo que atacantes adquiram ingressos pagos sem efetuar o pagamento. Isso impacta a receita do alvo. A falha permite que atacantes não autenticados obtenham acesso a ingressos pagos sem pagar.Recomendações
Atualize o plugin Event Tickets and Registration para WordPress para a versão 5.26.6 ou posterior.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Event Tickets/Registration