漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Hi.Events 1.9.0 - Promo Code Max-Usage Bypass via Asynchronous Job Race Condition
Vulnerability Description
Hi.Events through 1.9.0 contains a promo code validation vulnerability where reservation validates usage count before asynchronous UpdateEventStatisticsJob increments it, allowing attackers to redeem limited promo codes unlimited times. Attackers can sequentially reserve multiple orders with the same restricted promo code, each reading order_usage_count=0 and passing validation, then complete them all at discounted prices without concurrent requests.
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Vulnerability Type
检查时间与使用时间(TOCTOU)的竞争条件
Vulnerability Title
Hi.Events 竞争条件问题漏洞
Vulnerability Description
Hi.Events是Hi.Events组织的一个活动票务与管理平台。 Hi.Events 1.9.0及之前版本存在竞争条件问题漏洞,该漏洞源于竞争条件引发促销码验证问题,导致订单在异步作业更新使用计数前验证使用次数,攻击者可无限次使用受限促销码以折扣价完成多个订单。
CVSS Information
N/A
Vulnerability Type
N/A