CVE-2026-52841 in easyappointmentsالمعلومات

الملخص

بحسب VulDB • 14/07/2026

Easy!Appointments هو نظام جدولة مواعيف مستضاف ذاتيًا (Self-hosted). في الإصدارات السابقة لـ 1.6.0، يقوم `Google::oauth` الموجود في الملف `application/controllers/Google.php:278` بتخزين قيمة `provider_id` المستلمة عبر عنوان URL في الجلسة (Session)، ويقوم `oauth_callback` بحفظ رمز مصادقة Google OAuth المُصدر مقابل هذا السجل دون التحقق مما إذا كان المتصل هو المالك الفعلي للمزود. يمكن لأي مستخدم مسجّل دخول إلى الواجهة الخلفية (Admin، Provider، أو Secretary) إعادة ربط مزامنة Google الخاصة بمزود آخر بحساب Google يتحكم فيه المهاجم. نتيجة لذلك، تتم مزامنة مواعيد المزود الآخر مع تقويم المهاكم، حيث تُرفق أسماء وعناوين البريد الإلكتروني لكل عميل كبيانات للحضور. تقوم الإصدار 1.6.0 بإصلاح هذه الثغرة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

08/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378342

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!