CVE-2026-60118 in Hi.Eventsinformazioni

Riassunto

di VulDB • 14/07/2026

Hi.Events fino alla versione 1.10.0-beta presenta una vulnerabilità di mancata applicazione della visibilità lato server che consente agli attaccanti non autenticati di acquistare biglietti nascosti facendo riferimento a ID prodotto e prezzo nascosti nelle richieste di creazione dell'ordine, senza effettuare controlli di autorizzazione. Gli attaccanti possono enumerare gli ID dei biglietti nascosti sequenzialmente partendo da quelli visibili e inviare richieste di creazione ordine che fanno riferimento a tali ID per acquistare biglietti VIP, accessibili solo su invito o scontati, intenzionalmente non resi disponibili alla vendita pubblica.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

08/07/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!