MEDIUMCVE-2026-5600

pretix: API は同じオーガナイザーのイベント間でチェックインデータを漏洩する

プラットフォーム

python

コンポーネント

pretix

修正版

2026.1.2

2026.2.1

2026.3.1

2026.1.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.

影響と攻撃シナリオ

pretixのCVE-2026-5600脆弱性は、バージョン2025以降に影響を与えます。特定のイベントのチェックインイベントを返すように設計された新しいAPIエンドポイントですが、実際にはそれぞれの主催者に関連付けられたすべてのチェックインイベントを返します。これにより、APIコンシューマーは、アクセスすべきではない他のイベントを含む、同じ主催者の下にあるすべてのイベントの情報にアクセスできるようになります。公開されたレコードには、各チケットスキャン時刻と結果、および一致するチケットのIDが含まれています。このデータ漏洩により、攻撃者は許可されていないイベントへの参加者を追跡し、参加者のプライバシーを侵害したり、主催者の業務に関する貴重な洞察を得たりする可能性があります。

悪用の状況

pretix APIへのアクセス権を持つ攻撃者は、特定のイベントIDを指定して新しいAPIエンドポイントにリクエストを送信することで、この脆弱性を悪用できます。エンドポイントは、そのイベントIDに関連付けられた主催者のすべてのチェックインイベントを返し、攻撃者がそのデータにアクセスする権限を持っているかどうかに関係なく、返します。搾取には、pretix APIの基本的な知識とHTTPリクエストを送信する機能が必要です。搾取の可能性は高く、APIエンドポイントが公開されており、脆弱性が比較的簡単に悪用できるためです。

リスク対象者翻訳中…

Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.

検出手順翻訳中…

• python / server:

# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':

• generic web:

# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':

攻撃タイムライン

2026-04-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート2 件の脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントpretix

ベンダーosv

影響範囲修正版

2025.10.0 – 2026.1.22026.1.2

2026.2.0 – 2026.2.12026.2.1

2026.3.0 – 2026.3.12026.3.1

2026.3.02026.3.1

2025.10.02026.1.2

2026.2.02026.1.2

弱点分類 (CWE)

CWE-653

タイムライン

予約済み2026-04-05
公開日2026-04-08
EPSS 更新日2026-04-16

公開後1日でパッチ適用

緩和策と回避策

解決策は、pretixをバージョン2026.3.1以降にアップグレードすることです。このバージョンは、APIエンドポイントへのアクセスを、要求された特定のイベントのチェックインイベントのみを返すように制限することで、脆弱性を修正します。アップグレードを待っている間、API権限を注意深く確認し、APIコンシューマーのアクセスを厳密に必要なデータに制限してください。また、APIアクティビティを、搾取を示唆する異常なパターンがないか監視してください。追加のリスクを特定し軽減するために、セキュリティ監査が推奨されます。

修正方法翻訳中…

Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5600 とは何ですか？（pretix）

pretixは、チケット販売とイベント管理で広く使用されているオープンソースのイベント管理ソフトウェアです。

pretix の CVE-2026-5600 による影響を受けていますか？

この脆弱性により、攻撃者は許可されていないイベントへの参加者を追跡し、参加者のプライバシーを侵害する可能性があります。

pretix の CVE-2026-5600 を修正するにはどうすればよいですか？

すぐにバージョン2026.3.1以降にアップグレードしてください。

CVE-2026-5600 は積極的に悪用されていますか？

API権限を注意深く確認し、APIコンシューマーのアクセスを厳密に必要なデータに制限してください。APIアクティビティを異常なパターンがないか監視してください。

CVE-2026-5600 に関する pretix の公式アドバイザリはどこで確認できますか？

NIST脆弱性データベースのCVE-2026-5600の詳細ページまたはpretixの公式ドキュメントを参照してください。