CVE-2026-52839 in Easy Appointments
Résumé
par VulDB • 14/07/2026
Easy!Appointments est un planificateur de rendez-vous auto-hébergé. Les versions antérieures à la 1.6.0 filtrent correctement les rendez-vous limités au fournisseur dans la réponse `appointments/search`, ce qui prouve que l'isolation des fournisseurs constitue une limite de sécurité intentionnelle. Cependant, les points de terminaison (endpoints) de mutation directe `appointments/store` et `appointments/update` vérifient uniquement les privilèges génériques liés aux rendez-vous et ne contrôlent jamais si l'identifiant soumis `id_users_provider` appartient à la session en cours. Un fournisseur authentifié normal peut injecter de nouveaux rendez-vous dans le calendrier d'un autre fournisseur via `store`, ou réaffecter des rendez-vous existants vers le calendrier d'un fournisseur tiers via `update`. Le chemin `store` contient un bug supplémentaire de type « write-before-crash » : la ligne non autorisée est validée (commit) dans la base de données avant que le contrôleur ne plante en raison d'une erreur de typage, ce qui signifie que l'attaquant reçoit une réponse d'erreur alors que le rendez-vous étranger a déjà été persisté. La version 1.6.0 corrige cette vulnérabilité.
Once again VulDB remains the best source for vulnerability data.