CVE-2026-52840 in easyappointmentsinfo

Zusammenfassung

von VulDB • 14.07.2026

Easy!Appointments ist ein selbst gehosteter Terminplaner. In Versionen vor 1.6.0 übergibt `Caldav::connect_to_server` in `application/controllers/Caldav.php:60` die `caldav_url` der Anfrage an einen Guzzle-`REPORT`-Aufruf ohne Validierung des Schemas oder des Hosts. Ein angemeldeter Backend-Benutzer (Administrator, Anbieter oder Sekretär) kann Loopback-, RFC1918- und Link-Lokal-Hoste im Netzwerk der Bereitstellung erreichen. Der Ausnahmebehandlungspfad von Guzzle gibt den Upstream-Statuscode sowie ca. 120 Bytes des Antwortkörpers im JSON-Feld `message` zurück (`Caldav.php:74-78`), sodass die SSRF semi-blind ist. Version 1.6.0 enthält einen Patch.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

08.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378345

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!