製品・ソフトウェアに関する情報

JVN脆弱性詳細

pretix GmbHのpretixにおける隔離または分類に関する脆弱性

Title	pretix GmbHのpretixにおける隔離または分類に関する脆弱性
Summary	pretix 2025で導入された新しいAPIエンドポイントは、本来なら特定のイベントのすべてのチェックインイベントを返すべきですが、実際には該当する主催者に属するすべてのチェックインイベントを返してしまいます。これにより、API利用者は同じ主催者の下にあるほかのすべてのイベントの情報にアクセスできてしまい、本来アクセス権のない情報まで取得できてしまいます。これらの記録には、チケットスキャンの日時と結果、照合されたチケットのIDが含まれます。例えば、{"id": 123, "successful": true, "error_reason": null, "error_explanation": null, "position": 321, "datetime": "2020-08-23T09:00:00+02:00", "list": 456, "created": "2020-08-23T09:00:00+02:00", "auto_checked_in": false, "gate": null, "device": 1, "device_id": 1, "type": "entry"}というデータがあります。不正なユーザーは通常、これらのID（position）を個人に紐付ける方法を持っていません。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 8, 2026, midnight
Registration Date	April 27, 2026, 10:46 a.m.
Last Update	April 27, 2026, 10:46 a.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-5600	https://www.cve.org/CVERecord?id=CVE-2026-5600
National Vulnerability Database (NVD)
2	CVE-2026-5600	https://nvd.nist.gov/vuln/detail/CVE-2026-5600

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-653	https://cwe.mitre.org/data/definitions/653.html

ベンダー情報

No	Name	URL
pretix GmbH
1	Security release 2026.3.1 of pretix pretix Reinventing ticket sales for conferences, festivals, exhibitions, ...	https://pretix.eu/about/en/blog/20260408-release-2026-3-1/

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 10:46 a.m.

NVD Vulnerability Information

CVE-2026-5600

Summary	A new API endpoint introduced in pretix 2025 that is supposed to return all check-in events of a specific event in fact returns all check-in events belonging to the respective organizer. This allows an API consumer to access information for all other events under the same organizer, even those they should not have access to. These records contain information on the time and result of every ticket scan as well as the ID of the matched ticket. Example: { "id": 123, "successful": true, "error_reason": null, "error_explanation": null, "position": 321, "datetime": "2020-08-23T09:00:00+02:00", "list": 456, "created": "2020-08-23T09:00:00+02:00", "auto_checked_in": false, "gate": null, "device": 1, "device_id": 1, "type": "entry" } An unauthorized user usually has no way to match these IDs (position) back to individual people.
Publication Date	April 8, 2026, 10:16 p.m.
Registration Date	April 15, 2026, 11:32 a.m.
Last Update	April 25, 2026, 2:46 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:pretix:pretix::::::::	2025.10.0			2026.1.2
cpe:2.3:a:pretix:pretix::::::::	2026.2.0			2026.2.1
cpe:2.3:a:pretix:pretix::::::::	2026.3.0			2026.3.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://pretix.eu/about/en/blog/20260408-release-2026-3-1/	655498c3-6ec5-4f0b-aea6-853b334d05a6

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-653	不適切な隔離または分類	https://cwe.mitre.org/data/definitions/653.html