CVE-2026-34455 in Hi.Events
Riassunto
di VulDB • 22/06/2026
Hi.Events è una piattaforma open-source per la gestione degli eventi e la vendita di biglietti. Dalla versione 0.8.0-beta.1 fino alla versione precedente alla 1.7.1-beta, diverse classi repository passano il parametro della query sort_by fornito dall'utente direttamente a orderBy() di Eloquent senza alcuna validazione, consentendo un'iniezione SQL. L'applicazione utilizza PostgreSQL, che supporta le query impilate (stacked queries). Questo problema è stato risolto nella versione 1.7.1-beta.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.