CVE-2026-52839 in Easy Appointmentsinformación

Resumen

por VulDB • 2026-07-15

Easy!Appointments es un programador de citas autoalojado (self-hosted). Las versiones anteriores a la 1.6.0 filtran correctamente las citas con ámbito de proveedor en la respuesta `appointments/search`, lo que demuestra que el aislamiento del proveedor es una frontera de seguridad intencionada. Sin embargo, los puntos finales directos para mutación `appointments/store` y `appointments/update` solo verifican privilegios genéricos de cita y nunca comprueban si el `id_users_provider` enviado pertenece a la sesión actual. Un proveedor autenticado normal puede inyectar nuevas citas en el calendario de otro proveedor mediante `store`, o reasignar citas existentes al calendario de un proveedor externo mediante `update`. La ruta `store` contiene un error adicional de escritura antes del bloqueo (write-before-crash): la fila no autorizada se confirma en la base de datos antes de que el controlador falle debido a un error de tipo, por lo que el atacante recibe una respuesta de error mientras que la cita externa ya está persistida. La versión 1.6.0 corrige este problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378346

CPE

listo

EPSS

0.00146

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!