Plataforma
python
Componente
pretix
Corrigido em
2026.1.2
2026.2.1
2026.3.1
2026.3.1
2026.1.2
2026.1.2
CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.
A vulnerabilidade CVE-2026-5600 no pretix afeta a versão 2025 e posteriores. Um novo endpoint de API, destinado a retornar eventos de registro de entrada para um evento específico, incorretamente retorna todos os eventos de registro de entrada pertencentes ao organizador respectivo. Isso permite que um consumidor de API acesse informações de todos os outros eventos sob o mesmo organizador, mesmo aqueles aos quais não deveria ter acesso. Os registros expostos contêm informações sobre a hora e o resultado de cada varredura de ingresso, bem como o ID do ingresso correspondente. Este vazamento de dados pode permitir que um atacante rastreie a frequência em eventos não autorizados, comprometendo potencialmente a privacidade dos participantes e obtendo informações valiosas sobre as operações do organizador.
Um atacante com acesso à API do pretix pode explorar esta vulnerabilidade enviando uma solicitação para o novo endpoint da API com um ID de evento específico. O endpoint então retornará todos os eventos de registro de entrada para o organizador associado a esse ID de evento, independentemente de o atacante ter ou não permissão para acessar esses dados. A exploração requer um conhecimento básico da API do pretix e a capacidade de enviar solicitações HTTP. A probabilidade de exploração é alta, pois o endpoint da API está disponível publicamente e a vulnerabilidade é relativamente fácil de explorar.
Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.
• python / server:
# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':• generic web:
# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
A solução é atualizar para a versão 2026.3.1 do pretix ou posterior. Esta versão corrige a vulnerabilidade restringindo o acesso ao endpoint da API para retornar apenas os eventos de registro de entrada do evento específico solicitado. Enquanto aguarda a atualização, revise cuidadosamente as permissões da API e limite o acesso dos consumidores da API aos dados estritamente necessários. Além disso, monitore a atividade da API em busca de padrões incomuns que possam indicar exploração. Recomenda-se uma auditoria de segurança para identificar e mitigar quaisquer riscos adicionais.
Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
pretix é um software de gerenciamento de eventos de código aberto amplamente utilizado para venda de ingressos e gerenciamento de eventos.
A vulnerabilidade pode permitir que um atacante rastreie a frequência em eventos não autorizados, comprometendo potencialmente a privacidade dos participantes.
Atualize imediatamente para a versão 2026.3.1 ou posterior.
Revise cuidadosamente as permissões da API e limite o acesso dos consumidores da API aos dados estritamente necessários. Monitore a atividade da API em busca de padrões incomuns.
Consulte a página de detalhes de CVE-2026-5600 no banco de dados de vulnerabilidades do NIST ou a documentação oficial do pretix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.