प्लेटफ़ॉर्म
python
घटक
pretix
में ठीक किया गया
2026.1.2
2026.2.1
2026.3.1
2026.3.1
2026.1.2
2026.1.2
CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.
CVE-2026-5600 भेद्यता pretix के संस्करण 2025 और उसके बाद के संस्करणों को प्रभावित करती है। एक नया API एंडपॉइंट, जिसका उद्देश्य किसी विशिष्ट घटना के लिए चेक-इन इवेंट वापस करना है, वास्तव में संबंधित आयोजक से संबंधित सभी चेक-इन इवेंट वापस कर देता है। यह API उपभोक्ता को समान आयोजक के अंतर्गत अन्य सभी घटनाओं की जानकारी तक पहुंचने की अनुमति देता है, भले ही उन्हें उस तक पहुंचने की अनुमति नहीं होनी चाहिए। उजागर रिकॉर्ड में प्रत्येक टिकट स्कैन का समय और परिणाम, साथ ही मिलान वाले टिकट की आईडी शामिल है। यह डेटा रिसाव एक हमलावर को अनधिकृत घटनाओं में उपस्थिति को ट्रैक करने की अनुमति दे सकता है, जिससे संभावित रूप से उपस्थित लोगों की गोपनीयता से समझौता हो सकता है और आयोजक के संचालन के बारे में मूल्यवान अंतर्दृष्टि प्राप्त हो सकती है।
pretix API तक पहुंच रखने वाला एक हमलावर इस भेद्यता का शोषण नए API एंडपॉइंट पर एक विशिष्ट इवेंट आईडी के साथ अनुरोध भेजकर कर सकता है। फिर एंडपॉइंट उस इवेंट आईडी से जुड़े आयोजक के सभी चेक-इन इवेंट वापस कर देगा, चाहे हमलावर के पास उस डेटा तक पहुंचने की अनुमति हो या नहीं। शोषण के लिए pretix API के बारे में बुनियादी ज्ञान और HTTP अनुरोध भेजने की क्षमता की आवश्यकता होती है। शोषण की संभावना अधिक है, क्योंकि API एंडपॉइंट सार्वजनिक रूप से उपलब्ध है और भेद्यता का अपेक्षाकृत आसानी से शोषण किया जा सकता है।
Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.
• python / server:
# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':• generic web:
# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
समाधान pretix के संस्करण 2026.3.1 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण API एंडपॉइंट एक्सेस को केवल अनुरोधित विशिष्ट घटना के लिए चेक-इन इवेंट वापस करने तक सीमित करके भेद्यता को ठीक करता है। अपग्रेड की प्रतीक्षा करते समय, API अनुमतियों की सावधानीपूर्वक समीक्षा करें और API उपभोक्ता के एक्सेस को सख्त आवश्यक डेटा तक सीमित करें। इसके अतिरिक्त, शोषण का संकेत देने वाले असामान्य पैटर्न के लिए API गतिविधि की निगरानी करें। किसी भी अतिरिक्त जोखिम की पहचान करने और कम करने के लिए सुरक्षा ऑडिट की सिफारिश की जाती है।
Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
pretix एक ओपन-सोर्स इवेंट मैनेजमेंट सॉफ्टवेयर है जिसका उपयोग व्यापक रूप से टिकट बिक्री और इवेंट मैनेजमेंट के लिए किया जाता है।
यह भेद्यता एक हमलावर को अनधिकृत घटनाओं में उपस्थिति को ट्रैक करने की अनुमति दे सकती है, जिससे संभावित रूप से उपस्थित लोगों की गोपनीयता से समझौता हो सकता है।
तुरंत संस्करण 2026.3.1 या बाद के संस्करण में अपग्रेड करें।
API अनुमतियों की सावधानीपूर्वक समीक्षा करें और API उपभोक्ता के एक्सेस को सख्त आवश्यक डेटा तक सीमित करें। शोषण का संकेत देने वाले असामान्य पैटर्न के लिए API गतिविधि की निगरानी करें।
NIST भेद्यता डेटाबेस में CVE-2026-5600 के विवरण पृष्ठ या pretix के आधिकारिक दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।