Katalog CVE

CVE-2026-57960

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność w systemie Hi.Events do wersji 1.9.0 umożliwia nieuwierzytelnionym atakującym dostęp do pełnych list uczestników, w tym adresów e-mail i danych osobowych, poprzez publiczne punkty końcowe list kontrolnych. Wykorzystując znajomość identyfikatora short_id, atakujący może odczytać dane uczestników oraz tworzyć lub usuwać rekordy kontrolne bez autoryzacji.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym ujawnieniu wrażliwych danych osobowych uczestników oraz możliwości manipulacji rekordami kontrolnymi, co może naruszyć prywatność i integralność danych organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację systemu Hi.Events do najnowszej wersji, która usuwa tę podatność, oraz wdrożenie dodatkowych mechanizmów uwierzytelniania dla publicznych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Hi.Events through 1.9.0 public check-in list endpoints use short_id as sole access control, allowing unauthenticated access to retrieve full attendee lists including emails and personal information. Attackers with knowledge of the short_id can call GET /api/public/check-in-lists/{short_id}/attendees to read attendee data and create or delete check-in records without authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS