CVE-2026-2451Электронные письма, отправленные pretix, могут использовать заполнители, которые будут заполнены данными клиентов. Например, когда {название}
используется в шаблоне электронной почты, он будет заменен на покупателя
Название для финальной электронной почты. Этот механизм содержал ошибку, релевантную безопасность:
Можно было эксфильтрацию информации о системе pretix с помощью специально созданных имен заполнителей, таких как {figuren._____._code__.co_filename}}.
Таким образом, злоумышленник, способный управлять шаблонами электронной почты
(обычно каждый пользователь pretix backend) может получить чувствительный
информацию из конфигурации системы, включая даже базу данных
пароли или ключи API. pretix включает в себя механизмы для предотвращения использования таких
злонамеренные заполнители, однако из-за ошибки в коде, они были
не полностью эффективен для этого плагина.
Из осторожности мы рекомендуем вам повернуть все пароли и ключи API, содержащиеся в вашем файле pretix.cfg.