PT-2026-58093 · WordPress · Hi.Events

Adam Młynarczyk

·

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-60118

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Hi.Events versões anteriores a 1.11.0
Description A ausência de imposição de visibilidade no lado do servidor permite que atacantes não autenticados comprem ingressos ocultos. Ao referenciar IDs de produtos e preços ocultos em solicitações de criação de pedidos, os atacantes podem ignorar as verificações de autorização. Isso é possível através da enumeração de IDs de ingressos ocultos sequenciais com base em IDs visíveis para adquirir ingressos VIP, apenas para convidados ou com desconto que foram intencionalmente retirados da venda ao público.
Recommendations Atualize o Hi.Events para a versão 1.11.0 ou posterior.

Exploit

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-60118
GHSA-2H54-CPRV-VJ74

Produtos afetados

Hi.Events