CVE-2026-52837 in easyappointments
要約
〜によって VulDB • 2026年07月14日
Easy!Appointmentsは、セルフホスト型の予約スケジューラです。バージョン1.5.2以前では、`/index.php/booking/reschedule/{appointment_hash}`(`Booking::index()`によって処理される)の予約再スケジュール表示画面において、認証チェックやフィールドのホワイトリスト化が行われずに、顧客レコード全体がインラインJavaScriptとして埋め込まれています(例:`const vars = {... "customer_data": {...}, ...}`)。12文字の`appointment_hash`を所持している者であれば、再スケジュールメール内のプレーンテキスト、確認ページのURL、オペレーター側のカレンダーリンクに平文で表示されるこのハッシュを用いて、`ea_users`テーブルにおける該当顧客の行にあるすべてのカラムを読み取ることができます。バージョン1.6.0には修正パッチが含まれています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.