CVE-2026-52839 in Easy Appointmentsinfo

Zusammenfassung

von VulDB • 14.07.2026

Easy!Appointments ist ein selbst gehosteter Terminplaner. In Versionen vor 1.6.0 werden provider-spezifische Termine in der Antwort von `appointments/search` korrekt gefiltert, was belegt, dass die Isolation nach Anbietern (Provider-Isolation) eine beabsichtigte Sicherheitsgrenze darstellt. Die Endpunkte für direkte Änderungen (`appointments/store` und `appointments/update`) prüfen jedoch nur generelle Terminberechtigungen und stellen niemals sicher, dass das übergebene Feld `id_users_provider` zum aktuellen Sitzungskontext gehört. Ein normaler authentifizierter Anbieter kann über den Endpunkt `store` neue Termine in den Kalender eines anderen Anbieters einfügen oder bestehende Termine über `update` einem fremden Anbieter zuweisen. Der Pfad `store` enthält einen zusätzlichen Fehler, bei dem vor einem Absturz geschrieben wird: Die unberechtigte Zeile wird bereits an die Datenbank übermittelt, bevor der Controller aufgrund eines Typenfehlers abstürzt; daher erhält der Angreifer eine Fehlerantwort, obwohl der fremde Termin bereits persistiert wurde. Version 1.6.0 behebt dieses Problem.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

08.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378346

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!