CVE-2026-2415

Nome do Software Vulnerável e Versões Afetadas pretix (versões afetadas não especificadas)

Descrição O software pretix contém falhas em seu mecanismo de placeholders de e-mail. Este mecanismo permite a inserção de dados do cliente em e-mails usando placeholders. Dois problemas de segurança foram identificados: primeiro, nomes de placeholders especialmente criados, como {{event. init . code .co filename}}, poderiam ser usados para exfiltrar informações sensíveis sobre o sistema pretix, incluindo senhas de banco de dados e chaves de API. As medidas preventivas existentes foram ineficazes para assuntos de e-mail. Segundo, placeholders em assuntos de e-mail e corpos em texto simples foram avaliados duas vezes, permitindo a renderização de placeholders controlados pelo comprador, como invoice company, potencialmente ampliando a superfície de ataque e vazando informações do pedido. Um atacante com controle sobre modelos de e-mail, tipicamente um usuário do backend do pretix, poderia explorar essas vulnerabilidades.

Recomendações Rotacione todas as senhas e chaves de API contidas no seu arquivo pretix.cfg.