Oprogramowanie Pretix w wersjach przed 2024.1.1 nieprawidłowo obsługuje walidację przesyłanych plików. Luka otrzymała ocenę CVSS 9.8 (krytyczna), co oznacza potencjalnie poważne konsekwencje dla bezpieczeństwa systemu.
▸ Pokaż oryginał (EN)
pretix before 2024.1.1 mishandles file validation.
Podatność wynika z nieprawidłowej walidacji plików (CWE-20 — improper input validation), co może umożliwić atakującemu przesłanie złośliwego pliku bez odpowiedniej weryfikacji jego zawartości lub typu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a złożoność ataku jest niska. Szczegółowy mechanizm exploit nie został ujawniony w dostępnym opisie.
Atakujący zdalny, nieuwierzytelniony może potencjalnie osiągnąć pełny kompromis systemu — naruszenie poufności, integralności oraz dostępności danych i usług (ocena C:H/I:H/A:H w CVSS).
Należy zaktualizować Pretix do wersji 2024.1.1 lub nowszej. Patch dostępny jest w repozytorium projektu na GitHub (porównanie zmian między v2023.10.2 a v2024.1.1).
Pretix w wersjach wcześniejszych niż 2024.1.1 (w tym co najmniej wersja 2023.10.2 i wcześniejsze).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPretix
APPPretix< 2024.1.1
Powiązane podatności
Emails sent by pretix can utilize placeholders that will be filled with customer data. For example, when {name...
Emails sent by pretix can utilize placeholders that will be filled with customer data. For example, when {name...
Emails sent by pretix can utilize placeholders that will be filled with customer data. For example, when {name...
Stored XSS in organizer and event settings of pretix up to 2024.7.0 allows malicious event organizers to injec...
A new API endpoint introduced in pretix 2025 that is supposed to return all check-in events of a specific eve...