Plateforme
python
Composant
pretix
Corrigé dans
2026.1.2
2026.2.1
2026.3.1
2026.3.1
2026.1.2
2026.1.2
CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.
La vulnérabilité CVE-2026-5600 dans pretix affecte la version 2025 et les versions ultérieures. Un nouveau point de terminaison d'API, conçu pour renvoyer les événements d'enregistrement pour un événement spécifique, renvoie incorrectement tous les événements d'enregistrement appartenant à l'organisateur respectif. Cela permet à un consommateur d'API d'accéder aux informations de tous les autres événements sous le même organisateur, même ceux auxquels il ne devrait pas avoir accès. Les enregistrements exposés contiennent des informations sur l'heure et le résultat de chaque scan de billet, ainsi que l'ID du billet correspondant. Cette fuite de données pourrait permettre à un attaquant de suivre la fréquentation d'événements non autorisés, compromettant potentiellement la confidentialité des participants et obtenant des informations précieuses sur les opérations de l'organisateur.
Un attaquant ayant accès à l'API pretix peut exploiter cette vulnérabilité en envoyant une requête au nouveau point de terminaison de l'API avec un ID d'événement spécifique. Le point de terminaison renverra alors tous les événements d'enregistrement pour l'organisateur associé à cet ID d'événement, quel que soit le fait que l'attaquant ait ou non l'autorisation d'accéder à ces données. L'exploitation nécessite une connaissance de base de l'API pretix et la capacité d'envoyer des requêtes HTTP. La probabilité d'exploitation est élevée, car le point de terminaison de l'API est accessible au public et la vulnérabilité est relativement facile à exploiter.
Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.
• python / server:
# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':• generic web:
# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
La solution consiste à mettre à niveau vers la version 2026.3.1 de pretix ou une version ultérieure. Cette version corrige la vulnérabilité en restreignant l'accès au point de terminaison de l'API pour ne renvoyer que les événements d'enregistrement pour l'événement spécifique demandé. En attendant la mise à niveau, examinez attentivement les autorisations de l'API et limitez l'accès des consommateurs de l'API aux données strictement nécessaires. Surveillez également l'activité de l'API à la recherche de schémas inhabituels pouvant indiquer une exploitation. Un audit de sécurité est recommandé pour identifier et atténuer tout risque supplémentaire.
Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
pretix est un logiciel de gestion d'événements open source largement utilisé pour la vente de billets et la gestion d'événements.
La vulnérabilité pourrait permettre à un attaquant de suivre la fréquentation d'événements non autorisés, compromettant potentiellement la confidentialité des participants.
Mettez immédiatement à niveau vers la version 2026.3.1 ou une version ultérieure.
Examinez attentivement les autorisations de l'API et limitez l'accès des consommateurs de l'API aux données strictement nécessaires. Surveillez l'activité de l'API à la recherche de schémas inhabituels.
Consultez la page de détails de CVE-2026-5600 dans la base de données des vulnérabilités du NIST ou la documentation officielle de pretix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.