Katalog CVE

CVE-2026-13225

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność umożliwia wstrzyknięcie złośliwego kodu HTML do adresu e-mail zamówienia, który pretix wyświetla bez sanityzacji na stronie potwierdzenia dla poszczególnych biletów w tym zamówieniu.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przeprowadzenia ataku typu cross-site scripting (XSS), co może prowadzić do kradzieży sesji użytkowników lub wyświetlania fałszywych treści.

Rekomendacja

Należy zaktualizować pretix do najnowszej wersji, która zawiera poprawkę usuwającą brak sanityzacji danych wejściowych w adresie e-mail.

Oryginalny opis (angielski, źródło NVD)

Malicious HTML content could be injected into the email address of an order, which pretix showed without sanitization on the confirmation page for individual tickets in that order.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS