pretix修复两个严重的会话劫持与SSRF漏洞

admin 2026-07-12 05:46:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: pretix团队发布2026.5.3版本修复两个严重漏洞。CVE-2026-13602为会话劫持漏洞,攻击者通过串联支付插件签名验证缺陷、重定向工具密钥复用及管理员模拟功能,可获取任意后端账户控制权。CVE-2026-13603为pretix-oppwa插件SSRF漏洞,因未校验resourcePath输入导致OppwaAPI密钥泄露。官方建议立即更新至2026.5.3等版本并更换API令牌,临时可屏蔽特定URL缓解。 综合评分: 88 文章分类: 漏洞分析,应急响应,安全工具


cover_image

pretix修复两个严重的会话劫持与SSRF漏洞

sec随谈 sec随谈

sec随谈

2026年7月9日 08:29 北京

在小说阅读器读本章

去阅读

摘要

pretix团队发布了2026.5.3版本,修复了两个严重漏洞。该更新同时覆盖了2026.4.5和2026.3.5.post1版本,以及多个支付插件。两个漏洞均被评为严重级别,管理员应立即打补丁。

为何这些pretix漏洞至关重要

pretix是一款广受欢迎的开源票务与活动管理平台,众多团体使用它来售票和收款。因此,一旦后端遭到入侵,与会者数据和支付密钥都可能被泄露。

第一个漏洞可能让攻击者获得任意后端账户的控制权;第二个漏洞可能导致某支付服务商的API密钥泄露。两者均被评为严重级别。

pretix在内部审查中发现了这些漏洞。托管客户已完成修复,无需采取任何行动。

CVE-2026-13602:会话劫持攻击链

这个会话劫持漏洞串联了三个薄弱环节。首先,支付插件通过URL传递经签名的会话数据,但插件仅验证签名本身,从未检查该数据的作用范围。

其次,一个重定向工具重复使用了相同的签名密钥和盐值。因此,只要攻击者能访问某一个活动,就能让任意数据获得有效签名,而这些经签名的数据又可以解锁会话数值。

第三个工具允许管理员以其他用户身份操作,用于调试目的。攻击者可以通过猜测有效ID来滥用该功能切换用户身份。将这三个环节串联起来,攻击者便能获得完整的管理员权限。

CVE-2026-13603:SSRF与API密钥泄露

pretix-oppwa插件根据一个名为resourcePath的用户输入值构建状态查询URL。该插件将此数值与基础域名直接拼接,既未添加末尾斜杠,也未做任何校验,因此攻击者可以将请求指向自己控制的服务器。

每个请求都携带Oppwa API令牌,这导致该令牌泄露给攻击者。被窃取的密钥进而可能暴露支付服务商系统中的数据。要排查是否遭到滥用,可在访问日志中搜索缺少末尾斜杠或%2F的resourcePath=记录。

漏洞利用现状

pretix有充分证据表明该会话劫持攻击链从未被用于实际攻击,且两个漏洞均无公开的概念验证(PoC)代码。尽管如此,鉴于其严重影响程度,尽快打补丁仍是明智之举。

受影响版本

自4.14版本以来的所有pretix版本均存在会话劫持攻击链问题。若较早期的安装环境在2022年10月后添加了相关插件,也可能受到影响。所有已发布的pretix-oppwa版本均存在SSRF漏洞。

补丁与缓解措施

两个pretix漏洞的修复已包含在2026.5.3、2026.4.5和2026.3.5.post1版本中,请立即更新至其中一个版本。此次共有七个插件收到修复更新,请逐一检查您所使用的插件,同时更新已修复的插件,例如pretix-oppwa 1.4.4版本。完成更新后,请向您的支付服务商申请一个新的API令牌。

暂时无法更新?可在网络服务器层面临时屏蔽/control/users/impersonate/stop这一URL作为应急措施。完整详情请参阅官方pretix 2026.5.3发布说明。

参考链接:

https://pretix.eu/about/en/blog/20260701-release-2026-5-3/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《pretix修复两个严重的会话劫持与SSRF漏洞》

评论:0   参与:  0