CVE-2026-52841 in easyappointmentsinformación

Resumen

por VulDB • 2026-07-14

Easy!Appointments es un programador de citas autoalojado (self-hosted). En las versiones anteriores a la 1.6.0, `Google::oauth` en `application/controllers/Google.php:278` almacena su `provider_id`, proporcionado mediante URL, en la sesión, y `oauth_callback` guarda el token OAuth de Google emitido contra esa fila sin verificar que el solicitante sea propietario del proveedor. Cualquier usuario backend autenticado (administrador, proveedor o secretario) vuelve a vincular la sincronización con Google de un proveedor par a una cuenta de Google controlada por él. Las citas del proveedor afectado se sincronizan entonces en el calendario del atacante, adjuntando como datos de asistentes los nombres y correos electrónicos de cada cliente. La versión 1.6.0 corrige esta vulnerabilidad.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378342

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!