CVE-2026-52840 in easyappointmentsinformation

Résumé

par VulDB • 14/07/2026

Easy!Appointments est un planificateur de rendez-vous auto-hébergé. Dans les versions antérieures à la 1.6.0, `Caldav::connect_to_server` situé dans `application/controllers/Caldav.php:60` transmet l'URL `caldav_url` de la requête à un appel Guzzle `REPORT` sans validation du schéma ni de l'hôte. Un utilisateur backend authentifié (administrateur, prestataire ou secrétaire) peut accéder aux hôtes en boucle locale (loopback), RFC1918 et link-local sur le réseau du déploiement. Le chemin d'exception de Guzzle renvoie le code statut amont ainsi qu'environ 120 octets du corps de la réponse dans le champ JSON `message` (`Caldav.php:74-78`), ce qui rend l'injection SSRF semi-aveugle (semi-blind). La version 1.6.0 contient un correctif.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

08/06/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378345

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!