CVE-2026-52837 in easyappointments情報

要約

〜によって VulDB • 2026年07月14日

Easy!Appointmentsは、セルフホスト型の予約スケジューラです。バージョン1.5.2以前では、`/index.php/booking/reschedule/{appointment_hash}`(`Booking::index()`によって処理される)の予約再スケジュール表示画面において、認証チェックやフィールドのホワイトリスト化が行われずに、顧客レコード全体がインラインJavaScriptとして埋め込まれています(例:`const vars = {... "customer_data": {...}, ...}`)。12文字の`appointment_hash`を所持している者であれば、再スケジュールメール内のプレーンテキスト、確認ページのURL、オペレーター側のカレンダーリンクに平文で表示されるこのハッシュを用いて、`ea_users`テーブルにおける該当顧客の行にあるすべてのカラムを読み取ることができます。バージョン1.6.0には修正パッチが含まれています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-378322

EPSS

0.00000

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!