CVE-2026-52839 in Easy Appointmentsinformation

Résumé

par VulDB • 14/07/2026

Easy!Appointments est un planificateur de rendez-vous auto-hébergé. Les versions antérieures à la 1.6.0 filtrent correctement les rendez-vous limités au fournisseur dans la réponse `appointments/search`, ce qui prouve que l'isolation des fournisseurs constitue une limite de sécurité intentionnelle. Cependant, les points de terminaison (endpoints) de mutation directe `appointments/store` et `appointments/update` vérifient uniquement les privilèges génériques liés aux rendez-vous et ne contrôlent jamais si l'identifiant soumis `id_users_provider` appartient à la session en cours. Un fournisseur authentifié normal peut injecter de nouveaux rendez-vous dans le calendrier d'un autre fournisseur via `store`, ou réaffecter des rendez-vous existants vers le calendrier d'un fournisseur tiers via `update`. Le chemin `store` contient un bug supplémentaire de type « write-before-crash » : la ligne non autorisée est validée (commit) dans la base de données avant que le contrôleur ne plante en raison d'une erreur de typage, ce qui signifie que l'attaquant reçoit une réponse d'erreur alors que le rendez-vous étranger a déjà été persisté. La version 1.6.0 corrige cette vulnérabilité.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

08/06/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378346

CPE

prêt

EPSS

0.00146

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!