CVE-2026-13223
ŚrednieCVSS 6.3Streszczenie
Integracja płatności z metodami opartymi na Computop nieprawidłowo walidowała odpowiedzi o statusie płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją do systemu dla innej płatności, uzyskując dostęp do wielu ważnych biletów za jedną opłatą.
Ocena ryzyka
Ryzyko polega na możliwości uzyskania nieautoryzowanego dostępu do wielu biletów lub usług bez ponoszenia pełnych kosztów, co prowadzi do strat finansowych i naruszenia integralności systemu.
Rekomendacja
Należy zaimplementować mechanizm wiążący odpowiedź o statusie płatności z unikalnym identyfikatorem transakcji, aby zapobiec ponownemu użyciu tej samej odpowiedzi dla różnych płatności.
Oryginalny opis (angielski, źródło NVD)
Our payment integration with Computop-based payment methods did not properly validate payment status responses. An attacker could use a successful payment status response from one payment and supply it to the system for a different payment, gaining access to multiple valid tickets with only one payment.

