CVE-2026-52837 in easyappointmentsinformación

Resumen

por VulDB • 2026-07-14

Easy!Appointments es un programador de citas autoalojado. En las versiones hasta la 1.5.2 (incluida), la vista de reprogramación de reservas en `/index.php/booking/reschedule/{appointment_hash}` (gestionada por `Booking::index()`) incrusta todo el registro del cliente como JavaScript en línea (`const vars = {... "customer_data": {...}, ...}`) sin autenticación y sin lista blanca de campos. Cualquier persona que posea el hash de cita de 12 caracteres, que aparece en texto plano en los correos electrónicos de reprogramación, las URL de la página de confirmación y los enlaces del calendario desde el lado del operador, puede leer todas las columnas de esa fila del cliente en la tabla `ea_users`. La versión 1.6.0 contiene un parche.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378322

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!