Katalog CVE
CVE-2026-13225
ŚrednieCVSS 5.3Streszczenie
Podatność umożliwia wstrzyknięcie złośliwego kodu HTML do adresu e-mail zamówienia, który pretix wyświetla bez sanityzacji na stronie potwierdzenia dla poszczególnych biletów w tym zamówieniu.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do przeprowadzenia ataku typu cross-site scripting (XSS), co może prowadzić do kradzieży sesji użytkowników lub wyświetlania fałszywych treści.
Rekomendacja
Należy zaktualizować pretix do najnowszej wersji, która zawiera poprawkę usuwającą brak sanityzacji danych wejściowych w adresie e-mail.
Oryginalny opis (angielski, źródło NVD)
Malicious HTML content could be injected into the email address of an order, which pretix showed without sanitization on the confirmation page for individual tickets in that order.

