CVE-2026-5600

Name of the Vulnerable Software and Affected Versions pretix versão 2025

Description Um novo endpoint da API no pretix 2025 retorna incorretamente todos os eventos de check-in pertencentes ao organizador, em vez do evento específico. Isso permite que um consumidor da API acesse informações de todos os eventos sob o mesmo organizador, mesmo aqueles aos quais não deveria ter acesso. Os registros contêm informações sobre o horário e o resultado de cada leitura de ingressos, bem como o ID do ingresso correspondente. A resposta da API inclui detalhes como id, successful, error reason, position, datetime, list, created, auto checked in, gate, device, device id e type.

Recommendations Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao endpoint da API afetado.