CVE-2026-52840 in easyappointmentsinformación

Resumen

por VulDB • 2026-07-15

Easy!Appointments es un programador de citas autoalojado (self-hosted). En versiones anteriores a la 1.6.0, `Caldav::connect_to_server` en `application/controllers/Caldav.php:60` pasa el parámetro `caldav_url` de la solicitud a una llamada Guzzle `REPORT` sin validar el esquema ni el host. Un usuario del backend autenticado (administrador, proveedor o secretario) puede acceder a hosts de bucle invertido (loopback), RFC1918 y link-local en la red donde se despliega la aplicación. La ruta de manejo de excepciones de Guzzle devuelve el código de estado del servidor upstream más aproximadamente 120 bytes del cuerpo de respuesta en el campo JSON `message` (`Caldav.php:74-78`), por lo que la SSRF es semi-ciega (semi-blind). La versión 1.6.0 contiene un parche para esta vulnerabilidad.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378345

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!