Platform
python
Component
pretix
Opgelost in
2026.1.2
2026.2.1
2026.3.1
2026.3.1
2026.1.2
2026.1.2
CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.
De CVE-2026-5600 kwetsbaarheid in pretix beïnvloedt versie 2025 en hoger. Een nieuw API-eindpunt, bedoeld om check-in evenementen voor een specifiek evenement terug te geven, geeft onjuist alle check-in evenementen terug die behoren tot de betreffende organisator. Dit stelt een API-consument in staat om toegang te krijgen tot informatie voor alle andere evenementen onder dezelfde organisator, zelfs als ze daar geen toegang toe zouden moeten hebben. De opengelegde records bevatten informatie over de tijd en het resultaat van elke ticketscan, evenals de ID van het overeenkomende ticket. Dit datalek kan een aanvaller in staat stellen de aanwezigheid bij ongeautoriseerde evenementen te volgen, waardoor mogelijk de privacy van deelnemers wordt aangetast en waardevolle inzichten in de activiteiten van de organisator worden verkregen.
Een aanvaller met toegang tot de pretix API kan deze kwetsbaarheid uitbuiten door een verzoek naar het nieuwe API-eindpunt te sturen met een specifieke evenement-ID. Het eindpunt geeft dan alle check-in evenementen terug voor de organisator die aan die evenement-ID is gekoppeld, ongeacht of de aanvaller toestemming heeft om toegang te krijgen tot die gegevens. Exploitatie vereist basiskennis van de pretix API en het vermogen om HTTP-verzoeken te verzenden. De kans op exploitatie is groot, omdat het API-eindpunt publiekelijk toegankelijk is en de kwetsbaarheid relatief gemakkelijk te exploiteren is.
Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.
• python / server:
# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':• generic web:
# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
De oplossing is om te upgraden naar pretix versie 2026.3.1 of hoger. Deze versie corrigeert de kwetsbaarheid door de toegang tot het API-eindpunt te beperken tot alleen check-in evenementen voor het specifiek aangevraagde evenement. Terwijl u wacht op de upgrade, bekijkt u zorgvuldig de API-machtigingen en beperk de toegang van API-consumenten tot strikt noodzakelijke gegevens. Bewaak ook de API-activiteit op ongebruikelijke patronen die kunnen wijzen op exploitatie. Een beveiligingsaudit wordt aanbevolen om eventuele aanvullende risico's te identificeren en te beperken.
Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
pretix is een open-source event management software die veel wordt gebruikt voor ticketverkoop en event management.
De kwetsbaarheid kan een aanvaller in staat stellen de aanwezigheid bij ongeautoriseerde evenementen te volgen, waardoor mogelijk de privacy van deelnemers wordt aangetast.
Werk onmiddellijk bij naar versie 2026.3.1 of hoger.
Bekijk zorgvuldig de API-machtigingen en beperk de toegang van API-consumenten tot strikt noodzakelijke gegevens. Bewaak de API-activiteit op ongebruikelijke patronen.
Raadpleeg de details van CVE-2026-5600 in de NIST-kwetsbaarheidsdatabase of de officiële pretix-documentatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.