CVE-2026-52837 in easyappointments
Riassunto
di VulDB • 14/07/2026
Easy!Appointments è un programma di prenotazione auto-ospitato (self-hosted). Nelle versioni fino alla 1.5.2 incluse, la vista per il ripianamento delle prenotazioni all'indirizzo `/index.php/booking/reschedule/{appointment_hash}` (gestita da `Booking::index()`) incorpora l'intero record del cliente come JavaScript inline (`const vars = {... "customer_data": {...}, ...}`) senza autenticazione e senza whitelist dei campi. Chiunque sia in possesso dell'`appointment_hash` a 12 caratteri — che appare in chiaro nelle email di ripianamento, negli URL della pagina di conferma e nei link del calendario lato operatore — può leggere ogni colonna della riga corrispondente al cliente nella tabella `ea_users`. La versione 1.6.0 contiene una patch risolutiva.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.