CVE-2026-52837 in easyappointments
الملخص
بحسب VulDB • 14/07/2026
Easy!Appointments هو نظام جدولة مواعيف مستضاف ذاتيًا (Self-hosted). في الإصدارات حتى 1.5.2 شاملاً، يعرض صفحة إعادة جدولة الحجز عند المسار `/index.php/booking/reschedule/{appointment_hash}` (التي تتعامل معها الدالة `Booking::index()`) السجل الكامل للعميل كـ JavaScript مضمن (`const vars = {... "customer_data": {...}, ...}`) دون أي تحقق من الهوية ودون استخدام قائمة بيضاء للحقول. يمكن لأي شخص يمتلك قيمة `appointment_hash` المكونة من 12 حرفاً — والتي تظهر كنص واضح في رسائل البريد الإلكتروني لإعادة الجدولة، وروابط صفحات التأكيد، والروابط الخاصة بتقويم المشغلين — قراءة كل أعمدة صف العميل في جدول `ea_users`. تحتوي الإصدار 1.6.0 على تصحيح للثغرة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.