CVE-2026-13222
ŚrednieCVSS 6.3Streszczenie
Integracja płatności z metodami płatności opartymi na Oppwa nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją systemowi dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.
Ocena ryzyka
Organizacja narażona jest na straty finansowe i utratę kontroli nad dostępem do usług, ponieważ atakujący może uzyskać nieautoryzowany dostęp do wielu biletów bez ponoszenia odpowiednich kosztów.
Rekomendacja
Należy zaimplementować mechanizm weryfikacji unikalności odpowiedzi statusu płatności, np. poprzez sprawdzanie identyfikatora transakcji lub tokena, aby upewnić się, że odpowiedź dotyczy konkretnej płatności.
Oryginalny opis (angielski, źródło NVD)
Our payment integration with Oppwa-based payment methods did not properly validate payment status responses. An attacker could use a successful payment status response from one payment and supply it to the system for a different payment, gaining access to multiple valid tickets with only one payment.

