平台
python
组件
pretix
修复版本
2026.1.2
2026.2.1
2026.3.1
2026.3.1
2026.1.2
2026.1.2
CVE-2026-5600 is an information disclosure vulnerability affecting pretix versions up to 2026.3.0. This flaw allows unauthorized access to sensitive check-in event data, potentially revealing ticket scan times, results, and associated ticket IDs. The vulnerability stems from a flawed API endpoint that returns all check-in events for an organizer, rather than just those belonging to a specific event. A patch is available in version 2026.3.1.
CVE-2026-5600 漏洞影响 pretix 的 2025 版本及更高版本。一个新引入的 API 端点,本意是返回特定事件的签到事件,实际上返回了属于相应组织者的所有签到事件。这使得 API 消费者能够访问同一组织者下所有其他事件的信息,即使他们不应该有访问权限。暴露的记录包含每个票务扫描的时间和结果,以及匹配的票务 ID。这种数据泄露可能允许攻击者跟踪未经授权的事件的参与者,从而可能损害参与者的隐私,并获得有关组织者运营的宝贵见解。
拥有 pretix API 访问权限的攻击者可以通过向新的 API 端点发送带有特定事件 ID 的请求来利用此漏洞。然后,该端点将返回与该事件 ID 关联的组织者的所有签到事件,无论攻击者是否有权访问这些数据。利用需要对 pretix API 有基本的了解以及发送 HTTP 请求的能力。利用的可能性很高,因为 API 端点是公开的,并且该漏洞相对容易利用。
Organizations using pretix to manage events, particularly those relying on the API for integration with other systems, are at risk. Shared hosting environments where multiple event organizers share the same pretix instance are especially vulnerable, as a compromise of one organizer's API key could potentially expose data for all organizers on the same instance. Users with custom API integrations that directly access the vulnerable endpoint are also at increased risk.
• python / server:
# Check pretix version
curl -s https://<pretix_instance>/api/ | grep 'version':• generic web:
# Check for the vulnerable API endpoint
curl -s https://<pretix_instance>/api/events/<event_id>/checkins | grep -i 'id':disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
解决方案是升级到 pretix 的 2026.3.1 版本或更高版本。此版本通过限制 API 端点访问仅返回请求的特定事件的签到事件来修复漏洞。在等待升级期间,请仔细审查 API 权限,并限制 API 消费者对严格必要数据的访问。此外,请监控 API 活动,以查找可能表明利用的异常模式。建议进行安全审计以识别和减轻任何其他风险。
Actualice pretix a la versión 2026.3.1 o posterior para corregir la vulnerabilidad. Esta actualización corrige un error que permitía el acceso no autorizado a los datos de check-in de otros eventos dentro de la misma organización.
漏洞分析和关键警报直接发送到您的邮箱。
pretix 是一种广泛用于售票和活动管理的开源活动管理软件。
此漏洞可能允许攻击者跟踪未经授权的事件的参与者,从而可能损害参与者的隐私。
立即升级到 2026.3.1 版本或更高版本。
仔细审查 API 权限,并限制 API 消费者对严格必要数据的访问。监控 API 活动,以查找异常模式。
请参阅 NIST 漏洞数据库中 CVE-2026-5600 的详细信息页面或 pretix 的官方文档。
上传你的 requirements.txt 文件,立即知道是否受影响。