CVE-2026-34455 in Hi.Events
Tóm tắt
Bởi VulDB • 22/05/2026
Hi.Events là một nền tảng quản lý sự kiện và bán vé mã nguồn mở. Từ phiên bản 0.8.0-beta.1 đến trước phiên bản 1.7.1-beta, nhiều lớp repository chuyển trực tiếp tham số truy vấn sort_by do người dùng cung cấp vào hàm orderBy() của Eloquent mà không có xác thực, cho phép thực hiện SQL Injection. Ứng dụng sử dụng PostgreSQL, hỗ trợ các truy vấn xếp chồng (stacked queries). Vấn đề này đã được vá trong phiên bản 1.7.1-beta.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.