pretix has Broken Access Control Allowing Cross-User File Access via UUID · CVE-2025-14882 · GitHub Advisory Database · GitHub
CVE-2025-14882
pretix 存在访问控制缺陷,允许通过UUID进行跨用户文件访问
- 低严重性
- GitHub已审核
- 发布时间:2025年12月19日 至 GitHub Advisory Database
- 更新时间:2025年12月20日
漏洞详情
依赖项警报:0
软件包
pip pretix (pip)
受影响版本
-
= 2025.10.0, < 2025.10.1
-
= 2025.9.0, < 2025.9.3
- < 2025.8.3
已修复版本
- 2025.10.1
- 2025.9.3
- 2025.8.3
描述
一个API端点允许通过知晓文件的UUID来访问其他用户的敏感文件,而这些文件原本不应仅通过UUID即可访问。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-14882
- pretix/pretix@4b56518
- https://pretix.eu/about/en/blog/20251219-release-2025-10-1
- 由国家漏洞数据库发布:2025年12月19日
- 发布至GitHub Advisory Database:2025年12月19日
- 审核时间:2025年12月20日
- 最后更新:2025年12月20日
严重性
低 3.8 / 10 (CVSS总体评分)
CVSS v4 基础指标
可利用性指标
- 攻击向量 (AV):网络 (N)
- 攻击复杂度 (AC):低 (L)
- 攻击前提 (AT):存在 (P)
- 所需权限 (PR):低 (L)
- 用户交互 (UI):无 (N)
易受攻击系统影响指标
- 机密性 (VC):高 (H)
- 完整性 (VI):无 (N)
- 可用性 (VA):无 (N)
后续系统影响指标
- 机密性 (SC):高 (H)
- 完整性 (SI):无 (N)
- 可用性 (SA):无 (N)
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:U
EPSS 评分
0.043% (第13百分位) (此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。)
弱点
CWE-639 授权绕过通过用户控制的密钥 系统授权功能未能通过修改标识数据的关键值来阻止一个用户获取另一个用户的数据或记录。