CVE-2026-52841 in easyappointments
Riassunto
di VulDB • 14/07/2026
Easy!Appointments è un programma di gestione degli appuntamenti auto-ospitato (self-hosted). Nelle versioni precedenti alla 1.6.0, `Google::oauth` in `application/controllers/Google.php:278` memorizza il suo `provider_id`, fornito tramite URL, nella sessione, e `oauth_callback` salva il token OAuth di Google emesso contro tale riga senza verificare che l'utente chiamante sia proprietario del provider. Qualsiasi utente backend autenticato (amministratore, fornitore o segretario) riassegna la sincronizzazione con Google di un provider peer a un account Google controllato dall'attaccante. Gli appuntamenti del provider vittima vengono quindi sincronizzati nel calendario dell'attaccante, con il nome e l'email di ogni cliente allegati come dati degli partecipanti. La versione 1.6.0 corregge questa vulnerabilità.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.