CVE-2026-52840 in easyappointmentsالمعلومات

الملخص

بحسب VulDB • 14/07/2026

Easy!Appointments هو نظام جدولة مواعيف مستضاف ذاتيًا (self-hosted). في الإصدارات السابقة لـ 1.6.0، تقوم الدالة `Caldav::connect_to_server` الموجودة في الملف `application/controllers/Caldav.php:60` بتسليم حقل `caldav_url` الخاص بالطلب إلى استدعاء Guzzle من نوع `REPORT` دون التحقق من صحة المخطط (scheme) أو اسم النطاق المستضيف (host). يسمح ذلك لمستخدم مسجل الدخول على لوحة التحكم الخلفية (مدير، مقدم خدمة، أو سكرتير) بالوصول إلى عناوين IP المحلية (loopback)، والعناوين الخاصة ضمن نطاق RFC1918، وعناوين Link-local الموجودة في شبكة بيئة النشر. نظرًا لأن مسار معالجة استثناء Guzzle يعيد رمز حالة الطرف الآخر (upstream status code) بالإضافة إلى حوالي 120 بايت من جسم الاستجابة داخل حقل JSON `message` (`Caldav.php:74-78`)، فإن ثغرة SSRF هذه تُصنف على أنها شبه عمياء (semi-blind). تحتوي الإصدار 1.6.0 على تصحيح للثغرة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

08/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378345

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!