Электронные письма, отправленные pretix, могут использовать заполнители, которые будут заполнены данными клиентов. Например, когда {названи…

Электронные письма, отправленные pretix, могут использовать заполнители, которые будут заполнены данными клиентов. Например, когда {название} используется в шаблоне электронной почты, он будет заменен на покупателя Название для последнего письма. Этот механизм содержал ошибку, связанную с безопасностью: Можно было эксфильтрацию информации о системе pretix с помощью специально созданных имен заполнителей, таких как {event.______.co_.co_filename}}. Таким образом, злоумышленник, обладающий возможностью управления шаблонами электронной почты (обычно каждый пользователь pretix backend) может извлечь чувствительный информацию из конфигурации системы, включая даже базу данных пароли или ключи API. pretix включает в себя механизмы предотвращения использования таких злонамеренные заполнители, однако из-за ошибки в коде, они были не полностью эффективен для этого плагина. Из осторожности мы рекомендуем вам вращать все пароли и ключи API, содержащиеся в вашем файле pretix.cfg https://docs.pretix.eu/self-hosting/config/.