CRITICAL🇬🇧 English

CVE-2024-27447

Nieprawidłowa walidacja plików w Pretix przed wersją 2024.1.1

CVSS 9.8v3.1pub. 2024-02-26upd. 2025-06-11

Oprogramowanie Pretix w wersjach przed 2024.1.1 nieprawidłowo obsługuje walidację przesyłanych plików. Luka otrzymała ocenę CVSS 9.8 (krytyczna), co oznacza potencjalnie poważne konsekwencje dla bezpieczeństwa systemu.

Pokaż oryginał (EN)

pretix before 2024.1.1 mishandles file validation.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji plików (CWE-20 — improper input validation), co może umożliwić atakującemu przesłanie złośliwego pliku bez odpowiedniej weryfikacji jego zawartości lub typu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a złożoność ataku jest niska. Szczegółowy mechanizm exploit nie został ujawniony w dostępnym opisie.

Skutki

Atakujący zdalny, nieuwierzytelniony może potencjalnie osiągnąć pełny kompromis systemu — naruszenie poufności, integralności oraz dostępności danych i usług (ocena C:H/I:H/A:H w CVSS).

Mitygacja

Należy zaktualizować Pretix do wersji 2024.1.1 lub nowszej. Patch dostępny jest w repozytorium projektu na GitHub (porównanie zmian między v2023.10.2 a v2024.1.1).

Kogo dotyczy

Pretix w wersjach wcześniejszych niż 2024.1.1 (w tym co najmniej wersja 2023.10.2 i wcześniejsze).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Pretix

    APP
    Pretix
    < 2024.1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-2415HIGH7.5ten sam produkt

Emails sent by pretix can utilize placeholders that will be filled with customer data. For example, when {name...

CVE-2026-2451HIGH7.5ten sam produkt

Emails sent by pretix can utilize placeholders that will be filled with customer data. For example, when {name...

CVE-2026-2452HIGH7.5ten sam produkt

Emails sent by pretix can utilize placeholders that will be filled with customer data. For example, when {name...

CVE-2024-8113HIGH7.2ten sam produkt

Stored XSS in organizer and event settings of pretix up to 2024.7.0 allows malicious event organizers to injec...

CVE-2026-5600MEDIUM5.5ten sam produkt

A new API endpoint introduced in pretix 2025 that is supposed to return all check-in events of a specific eve...