CVE-2026-52839 in Easy Appointments情報

要約

〜によって VulDB • 2026年07月14日

Easy!Appointmentsは、セルフホスト型の予約スケジューラです。バージョン1.6.0より前のバージョンでは、`appointments/search`レスポンスにおいてプロバイダースコープの予約が正しくフィルタリングされており、プロバイダー間の分離が意図されたセキュリティ境界であることが示されています。しかし、直接変更可能なエンドポイント `appointments/store` および `appointments/update` は一般的な予約権限のみをチェックし、送信された `id_users_provider` が現在のセッションに属するものであるかを検証しません。通常の認証済みプロバイダーは、`store` を介して他のプロバイダーのスケジュールに新しい予約を挿入したり、`update` を介して既存の予約を他者のカレンダーへ再割り当てしたりできます。`store` パスには追加的な脆弱性があります:不正な行が型エラーによりコントローラーがクラッシュする前にデータベースにコミットされるため、攻撃者はエラーレスポンスを受け取りますが、外部の予約はすでに永続化されています。バージョン1.6.0でこの問題は修正されました。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-378346

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!