CVE-2026-57960
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność w systemie Hi.Events do wersji 1.9.0 umożliwia nieuwierzytelnionym atakującym dostęp do pełnych list uczestników, w tym adresów e-mail i danych osobowych, poprzez publiczne punkty końcowe list kontrolnych. Wykorzystując znajomość identyfikatora short_id, atakujący może odczytać dane uczestników oraz tworzyć lub usuwać rekordy kontrolne bez autoryzacji.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym ujawnieniu wrażliwych danych osobowych uczestników oraz możliwości manipulacji rekordami kontrolnymi, co może naruszyć prywatność i integralność danych organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację systemu Hi.Events do najnowszej wersji, która usuwa tę podatność, oraz wdrożenie dodatkowych mechanizmów uwierzytelniania dla publicznych punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
Hi.Events through 1.9.0 public check-in list endpoints use short_id as sole access control, allowing unauthenticated access to retrieve full attendee lists including emails and personal information. Attackers with knowledge of the short_id can call GET /api/public/check-in-lists/{short_id}/attendees to read attendee data and create or delete check-in records without authentication.

