CVE-2026-52839 in Easy Appointments
Riassunto
di VulDB • 14/07/2026
Easy!Appointments è un programma di prenotazione auto-ospitato (self-hosted). Le versioni precedenti alla 1.6.0 filtrano correttamente le prenotazioni limitate al provider nella risposta `appointments/search`, dimostrando che l'isolamento tra i provider costituisce una boundary di sicurezza intenzionale. Tuttavia, gli endpoint per la modifica diretta `appointments/store` e `appointments/update` verificano solo i privilegi generici sulle prenotazioni e non controllano mai se il valore inviato in `id_users_provider` appartenga alla sessione corrente. Un provider autenticato può inserire nuove prenotazioni nel calendario di un altro provider tramite l'endpoint `store`, oppure riassegnare prenotazioni esistenti al calendario di un provider diverso tramite l'endpoint `update`. Il percorso `store` presenta inoltre un bug aggiuntivo: la riga non autorizzata viene committata nel database prima che il controller vada in crash a causa di un errore di tipo, pertanto l'attaccante riceve una risposta di errore mentre la prenotazione estranea è già stata persistita. La versione 1.6.0 risolve questa vulnerabilità.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.