CVE-2026-57536
ŚrednieCVSS 6.3Streszczenie
Integracja płatności z Mollie nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją do systemu dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.
Ocena ryzyka
Ryzyko polega na możliwości uzyskania nieautoryzowanego dostępu do wielu biletów bez ponoszenia pełnych kosztów, co prowadzi do strat finansowych i naruszenia integralności systemu rezerwacji.
Rekomendacja
Należy zaimplementować mechanizm weryfikacji unikalności odpowiedzi statusu płatności, np. poprzez sprawdzanie identyfikatora transakcji lub tokena jednorazowego, aby zapobiec ponownemu użyciu tej samej odpowiedzi dla różnych płatności.
Oryginalny opis (angielski, źródło NVD)
Our payment integration with Mollie did not properly validate payment status responses. An attacker could use a successful payment status response from one payment and supply it to the system for a different payment, gaining access to multiple valid tickets with only one payment.

