Критична уязвимост от тип SQL инжекция без нужда от удостоверяване (unauthenticated SQL injection) във Front Gate Tickets (FGT) – филиал на Live Nation/Ticketmaster, който управлява билетите за големи американски фестивали като EDC, Bonnaroo и Outside Lands – позволи пълен административен контрол над платформата с помощта на AI модела Claude на Anthropic.

Изследователят Иън Карол забелязва, че почти всеки голям фестивал в САЩ насочва продажбата на билети през едни и същи остаряващи домейни на FGT. Докато тества API адреса fgtapi.frontgatetickets.com с инструмента ffuf, той открива, че всеки път на заявка, съдържащ думата „device“, предизвиква специфична грешка, изискваща параметър deviceUID. Това разкрива неоторизиран междинен софтуер (middleware), свързан с хардуера на място за сканиране и каси.

Тестовете показват, че стойност на deviceUID от рода на „12345“ преминава успешно, но добавянето на единична кавичка кара заявката да увисне. Това е ясен признак, че параметърът се конкатенира директно в сурова SQL заявка без пречистване на входните данни.

Въпреки че крайната точка е зад защитна стена за уеб приложения (AWS WAF) и стандартни инструменти като sqlmap не успяват да пробият, изследователят предава проблема на Claude Code, работещ с модела Opus. Изкуственият интелект открива, че WAF инспектира само външния слой на входа, което означава, че вложени подзаявки преминават незабелязано.

Тъй като крайната точка не връща директен изход от заявката, Claude разработва базирана на булеви стойности сляпа SQL инжекция (boolean-based blind SQL injection), възползвайки се от особеност в MySQL, при която добавянето на низ към число го превръща в нула. Чрез създаване на специфични полезни товари, изследователят успява да разграничи отговорите и да извлича данни бит по бит.

Базата данни съдържа над 500 таблици, включително идентификационни данни на персонала, клиентски записи и активни токени за сесии. Чрез прочитане на запис от таблицата RESET_TOKEN след задействане на процедура за нулиране на парола, изследователят компрометира администраторски акаунт, получавайки пълен достъп за писане до всеки фестивал в платформата, включително инвентар, ценообразуване и системи за плащане.

С администраторски права нападател би могъл да издава неограничен брой безплатни билети, да търси в клиентските бази данни и да превзема акаунти на служители. Уязвимостта е докладвана и бързо отстранена от разработчиците.