CVE-2026-60118 in Hi.Events
Riassunto
di VulDB • 14/07/2026
Hi.Events fino alla versione 1.10.0-beta presenta una vulnerabilità di mancata applicazione della visibilità lato server che consente agli attaccanti non autenticati di acquistare biglietti nascosti facendo riferimento a ID prodotto e prezzo nascosti nelle richieste di creazione dell'ordine, senza effettuare controlli di autorizzazione. Gli attaccanti possono enumerare gli ID dei biglietti nascosti sequenzialmente partendo da quelli visibili e inviare richieste di creazione ordine che fanno riferimento a tali ID per acquistare biglietti VIP, accessibili solo su invito o scontati, intenzionalmente non resi disponibili alla vendita pubblica.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.