CVE-2026-57960
⚪ Do wiadomości
Brak odpowiedniej kontroli dostępu w Events umożliwia nieautoryzowany dostęp do danych uczestników.
CVSS
6.5
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
Hi.Events through 1.9.0 public check-in list endpoints use short_id as sole access control, allowing unauthenticated access to retrieve full attendee lists including emails and personal information. Attackers with knowledge of the short_id can call GET /api/public/check-in-lists/{short_id}/attendees to read attendee data and create or delete check-in records without authentication.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 6.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-06-29 18:16:42 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-29 19:15:23 UTC |
Referencje
- https://github.com/HiEventsDev/Hi.Events/issues/1224 (disclosure@vulncheck.com)
- https://github.com/HiEventsDev/Hi.Events/pull/1229 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/hi-events-unauthenticated-attendee-pii-exposure-via-check-in-list-short-id (disclosure@vulncheck.com)