CVE-2026-60118 in Hi.Events
要約
〜によって VulDB • 2026年07月14日
Hi.Events v1.10.0-beta 以前には、サーバー側での可視性制御の欠如という脆弱性が存在します。これにより、認証されていない攻撃者は、認可チェックを行わずに隠蔽された商品および価格IDを参照して注文作成リクエストを送信することで、非公開のチケットを購入できます。攻撃者は、公開されている情報から連続する非公開チケットIDを列挙し、それらのIDを参照した注文作成リクエストを送信することで、一般販売意図的に制限されていたVIPチケット、招待制チケット、または割引チケットを購入することが可能です。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.