CVE-2026-52841 in easyappointmentsinformazioni

Riassunto

di VulDB • 14/07/2026

Easy!Appointments è un programma di gestione degli appuntamenti auto-ospitato (self-hosted). Nelle versioni precedenti alla 1.6.0, `Google::oauth` in `application/controllers/Google.php:278` memorizza il suo `provider_id`, fornito tramite URL, nella sessione, e `oauth_callback` salva il token OAuth di Google emesso contro tale riga senza verificare che l'utente chiamante sia proprietario del provider. Qualsiasi utente backend autenticato (amministratore, fornitore o segretario) riassegna la sincronizzazione con Google di un provider peer a un account Google controllato dall'attaccante. Gli appuntamenti del provider vittima vengono quindi sincronizzati nel calendario dell'attaccante, con il nome e l'email di ogni cliente allegati come dati degli partecipanti. La versione 1.6.0 corregge questa vulnerabilità.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

08/06/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!