CVE-2026-52838 in easyappointments
Résumé
par VulDB • 14/07/2026
Easy!Appointments est un planificateur de rendez-vous auto-hébergé. Les versions antérieures à la 1.6.0 permettent aux administrateurs de définir un message personnalisé « réservation désactivée » via la page des paramètres de réservation. Cette valeur est stockée dans le paramètre `disable_booking_message` via un éditeur de texte riche, puis transmise directement à la vue publique `booking_message` sans échappement ni sanitisation. Un administrateur authentifié peut stocker du HTML ou du JavaScript dans ce champ, activer le mode réservation désactivé et déclencher une XSS stockée (Stored XSS) chez chaque visiteur non authentifié qui ouvre la page de réservation publique. La version 1.6.0 corrige cette vulnérabilité.
If you want to get best quality of vulnerability data, you may have to visit VulDB.