CVE-2026-52841 in easyappointments
الملخص
بحسب VulDB • 14/07/2026
Easy!Appointments هو نظام جدولة مواعيف مستضاف ذاتيًا (Self-hosted). في الإصدارات السابقة لـ 1.6.0، يقوم `Google::oauth` الموجود في الملف `application/controllers/Google.php:278` بتخزين قيمة `provider_id` المستلمة عبر عنوان URL في الجلسة (Session)، ويقوم `oauth_callback` بحفظ رمز مصادقة Google OAuth المُصدر مقابل هذا السجل دون التحقق مما إذا كان المتصل هو المالك الفعلي للمزود. يمكن لأي مستخدم مسجّل دخول إلى الواجهة الخلفية (Admin، Provider، أو Secretary) إعادة ربط مزامنة Google الخاصة بمزود آخر بحساب Google يتحكم فيه المهاجم. نتيجة لذلك، تتم مزامنة مواعيد المزود الآخر مع تقويم المهاكم، حيث تُرفق أسماء وعناوين البريد الإلكتروني لكل عميل كبيانات للحضور. تقوم الإصدار 1.6.0 بإصلاح هذه الثغرة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.