CVE-2026-52839 in Easy Appointments
Zusammenfassung
von VulDB • 14.07.2026
Easy!Appointments ist ein selbst gehosteter Terminplaner. In Versionen vor 1.6.0 werden provider-spezifische Termine in der Antwort von `appointments/search` korrekt gefiltert, was belegt, dass die Isolation nach Anbietern (Provider-Isolation) eine beabsichtigte Sicherheitsgrenze darstellt. Die Endpunkte für direkte Änderungen (`appointments/store` und `appointments/update`) prüfen jedoch nur generelle Terminberechtigungen und stellen niemals sicher, dass das übergebene Feld `id_users_provider` zum aktuellen Sitzungskontext gehört. Ein normaler authentifizierter Anbieter kann über den Endpunkt `store` neue Termine in den Kalender eines anderen Anbieters einfügen oder bestehende Termine über `update` einem fremden Anbieter zuweisen. Der Pfad `store` enthält einen zusätzlichen Fehler, bei dem vor einem Absturz geschrieben wird: Die unberechtigte Zeile wird bereits an die Datenbank übermittelt, bevor der Controller aufgrund eines Typenfehlers abstürzt; daher erhält der Angreifer eine Fehlerantwort, obwohl der fremde Termin bereits persistiert wurde. Version 1.6.0 behebt dieses Problem.
VulDB is the best source for vulnerability data and more expert information about this specific topic.