漏洞概述 1. 会话接管漏洞链 [CRITICAL] - CVE ID: CVE-2026-13602 - 描述: 发现了一个结合多个弱点的链,允许攻击者在后端成为任何用户并访问任何数据。 - 具体细节: - 支付集成插件(如 Stripe、pretix-mollie、pretix-opppwa 等)包含一个代码路径,用于将会话参数从带有隔离 cookie 的标签传输到小部件的新标签页。这些参数被加密签名并作为 URL 参数传递给新标签页,但未进一步验证签名。 - 核心系统中的一个无关功能用于生成重定向链接,以阻止 Referer 头泄露秘密。该重定向页面也需要加密签名参数,但使用了与支付集成插件相同的密钥和盐。 - 另一个无关功能允许管理员代表其他用户操作,主要用于调试目的。攻击者可以通过猜测有效用户 ID 来更改会话。 2. SSRF 与 API 密钥泄露在 pretix-opppwa [CRITICAL] - CVE ID: CVE-2026-13603 - 描述: pretix-opppwa 插件在将参数从 URL 连接到 API 域名时未进行充分验证,导致攻击者可以注入 参数,从而泄露访问令牌。 影响范围 会话接管漏洞链: - 所有 4.14 及更高版本的 pretix 受影响(除了列出的修复版本)。 - 2022 年 10 月之后安装的任何列出的插件也可能受影响。 SSRF 与 API 密钥泄露: - 所有发布的 pretix-opppwa 版本受影响(除了列出的修复版本)。 修复方案 会话接管漏洞链: - 强烈建议尽快更新安装。 - 对于 pretix Hosted 用户,漏洞已修复。 - 如果无法立即更新,建议阻止 URL 在 webserver 配置中。 SSRF 与 API 密钥泄露: - 强烈建议尽快更新安装。 - 对于 pretix Hosted 用户,所有受影响的客户已收到通知。 - 如果无法立即更新,建议尝试安装最新版本的 pretix-opppwa 插件,或卸载该插件。 修复版本 pretix: - 2026.5.3 - 2026.4.5 - 2026.3.5 post1 插件: - pretix-mollie 2.5.7 - pretix-opppwa 1.4.4 - pretix-bitpay 1.5.3 - pretix-payone 1.4.3 - pretix-secuconnect 1.0.4 - pretix-sofort 1.4.2 - pretix-saferpay 1.6.3 其他信息 新的 Docker 镜像将在未来几小时内出现在 Docker Hub 上。 建议始终运行最新版本的 pretix,因为每个版本都包含有用的和重要的 bug 修复。 提供 RSS 订阅和 Mastodon 上的公告。 联系 报告任何安全问题或疑问。 总结 此次安全更新涉及两个关键漏洞,分别影响 pretix 及其多个插件。建议所有用户尽快更新到最新版本,以确保系统的安全性。