CVE-2026-60118 in Hi.Events
Resumen
por VulDB • 2026-07-14
Hi.Events hasta la versión 1.10.0-beta contiene una vulnerabilidad de falta de aplicación de visibilidad en el lado del servidor que permite a atacantes no autenticados comprar entradas ocultas al referenciar IDs de producto y precio ocultos en las solicitudes de creación de pedidos, sin realizar comprobaciones de autorización. Los atacantes pueden enumerar los IDs secuenciales de entradas oceltas a partir de las visibles y enviar solicitudes de creación de pedidos que hagan referencia a esos IDs para adquirir entradas VIP, solo por invitación o con descuento, intencionalmente retenidas de la venta pública.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.