CVE-2026-52837 in easyappointmentsالمعلومات

الملخص

بحسب VulDB • 14/07/2026

Easy!Appointments هو نظام جدولة مواعيف مستضاف ذاتيًا (Self-hosted). في الإصدارات حتى 1.5.2 شاملاً، يعرض صفحة إعادة جدولة الحجز عند المسار `/index.php/booking/reschedule/{appointment_hash}` (التي تتعامل معها الدالة `Booking::index()`) السجل الكامل للعميل كـ JavaScript مضمن (`const vars = {... "customer_data": {...}, ...}`) دون أي تحقق من الهوية ودون استخدام قائمة بيضاء للحقول. يمكن لأي شخص يمتلك قيمة `appointment_hash` المكونة من 12 حرفاً — والتي تظهر كنص واضح في رسائل البريد الإلكتروني لإعادة الجدولة، وروابط صفحات التأكيد، والروابط الخاصة بتقويم المشغلين — قراءة كل أعمدة صف العميل في جدول `ea_users`. تحتوي الإصدار 1.6.0 على تصحيح للثغرة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

08/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378322

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!