PT-2026-58093 · WordPress · Hi.Events
Adam Młynarczyk
·
Publicado
2026-07-14
·
Atualizado
2026-07-14
·
CVE-2026-60118
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Hi.Events versões anteriores a 1.11.0
Description
A ausência de imposição de visibilidade no lado do servidor permite que atacantes não autenticados comprem ingressos ocultos. Ao referenciar IDs de produtos e preços ocultos em solicitações de criação de pedidos, os atacantes podem ignorar as verificações de autorização. Isso é possível através da enumeração de IDs de ingressos ocultos sequenciais com base em IDs visíveis para adquirir ingressos VIP, apenas para convidados ou com desconto que foram intencionalmente retirados da venda ao público.
Recommendations
Atualize o Hi.Events para a versão 1.11.0 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hi.Events