Un investigador descubrió una vulnerabilidad de inyección SQL sin autenticar en la API de dispositivos de Front Gate Tickets (FGT), filial de Live Nation y Ticketmaster que gestiona la venta de entradas de festivales como EDC, Bonnaroo y Outside Lands. La brecha afectaba al dominio fgtapi.frontgatetickets.com y daba acceso de lectura a la base de datos fgs, con más de 500 tablas con información de clientes, registros de entradas y credenciales de personal.
El fallo se aprovechaba de un middleware que devolvía el identificador y nombre de un dispositivo a partir de un parámetro deviceUID, concatenado directamente en una consulta SQL. El WAF de AWS bloqueaba los patrones habituales de inyección, pero Claude Code con Opus detectó que el filtro solo inspeccionaba el primer nivel del input y que los mismos patrones anidados en subconsultas derivadas sorteaban la protección. Mediante un oráculo booleano basado en la coerción de cadenas a número en MySQL, el exploit extraía datos bit a bit usando el nombre del dispositivo en la respuesta.
Con la inyección, el investigador leyó la tabla de tokens de restablecimiento de contraseña en uso, canjeó uno y se autentificó como administrador de FGT con permisos de escritura sobre todos los festivales de la plataforma: eventos, inventario, precios, caja y emisión ilimitada de entradas de cortesía. También pudo buscar clientes por nombre en la base de datos.
FGT y Live Nation carecían de canal de contacto de seguridad público. El aviso se envió el 25 de abril de 2026; el proveedor confirmó la corrección el 26 de abril. La divulgación pública se realizó el 1 de julio de 2026, junto con el anuncio de un próximo programa de bug bounty.
