Plattform
python
Komponente
pretix
Behoben in
2026.1.2
2026.2.1
2026.3.1
2026.3.1
2026.1.2
2026.1.2
CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.
Die CVE-2026-5600-Schwachstelle in pretix betrifft Version 2025 und höher. Ein neuer API-Endpunkt, der dazu gedacht war, Check-in-Ereignisse für ein bestimmtes Ereignis zurückzugeben, gibt fälschlicherweise alle Check-in-Ereignisse zurück, die dem jeweiligen Organisator gehören. Dies ermöglicht einem API-Konsumenten, auf Informationen für alle anderen Ereignisse unter demselben Organisator zuzugreifen, auch wenn er keinen Zugriff darauf haben sollte. Die offengelegten Aufzeichnungen enthalten Informationen über die Zeit und das Ergebnis jedes Ticket-Scans sowie die ID des übereinstimmenden Tickets. Dieser Datenverlust könnte es einem Angreifer ermöglichen, die Teilnahme an unautorisierten Veranstaltungen zu verfolgen, wodurch möglicherweise die Privatsphäre der Teilnehmer gefährdet und wertvolle Einblicke in die Abläufe des Organisators gewonnen werden.
Ein Angreifer mit Zugriff auf die pretix API kann diese Schwachstelle ausnutzen, indem er eine Anfrage an den neuen API-Endpunkt mit einer bestimmten Ereignis-ID sendet. Der Endpunkt gibt dann alle Check-in-Ereignisse für den Organisator zurück, der mit dieser Ereignis-ID verknüpft ist, unabhängig davon, ob der Angreifer die Berechtigung hat, auf diese Daten zuzugreifen. Für die Ausnutzung sind grundlegende Kenntnisse der pretix API und die Fähigkeit erforderlich, HTTP-Anfragen zu senden. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, da der API-Endpunkt öffentlich zugänglich ist und die Schwachstelle relativ einfach auszunutzen ist.
Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.
• python / server:
# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':• generic web:
# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':disclosure
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
Die Lösung besteht darin, auf Version 2026.3.1 von pretix oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem der Zugriff auf den API-Endpunkt eingeschränkt wird, sodass nur Check-in-Ereignisse für das spezifisch angeforderte Ereignis zurückgegeben werden. Während Sie auf das Update warten, überprüfen Sie sorgfältig die API-Berechtigungen und beschränken Sie den Zugriff der API-Konsumenten auf die unbedingt erforderlichen Daten. Überwachen Sie außerdem die API-Aktivität auf ungewöhnliche Muster, die auf eine Ausnutzung hindeuten könnten. Eine Sicherheitsprüfung wird empfohlen, um alle zusätzlichen Risiken zu identifizieren und zu mindern.
Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
pretix ist eine quelloffene Event-Management-Software, die häufig für den Ticketverkauf und die Event-Verwaltung verwendet wird.
Die Schwachstelle könnte es einem Angreifer ermöglichen, die Teilnahme an unautorisierten Veranstaltungen zu verfolgen, wodurch möglicherweise die Privatsphäre der Teilnehmer gefährdet wird.
Aktualisieren Sie sofort auf Version 2026.3.1 oder höher.
Überprüfen Sie sorgfältig die API-Berechtigungen und beschränken Sie den Zugriff der API-Konsumenten auf die unbedingt erforderlichen Daten. Überwachen Sie die API-Aktivität auf ungewöhnliche Muster.
Konsultieren Sie die Details von CVE-2026-5600 in der NIST-Schwachstellen-Datenbank oder die offizielle pretix-Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.