CVE-2026-52840 in easyappointments情報

要約

〜によって VulDB • 2026年07月14日

Easy!Appointments は、セルフホスト型の予約スケジューラです。バージョン 1.6.0 より前のバージョンでは、`application/controllers/Caldav.php:60` の `Caldav::connect_to_server` が、スキームやホストの検証を行わずにリクエストの `caldav_url` を Guzzle の `REPORT` コールに渡します。ログイン済みのバックエンドユーザー(管理者、プロバイダー、または秘書)は、デプロイメント内のネットワーク上のループバックアドレス、RFC1918 プライベートアドレス、およびリンクローカルホストに到達できます。Guzzle の例外処理パスでは、アップストリームのステータスコードと約 120 バイトのレスポンスボディが JSON `message` フィールド(`Caldav.php:74-78`)に含まれて返されるため、この SSRF は半盲検出となります。バージョン 1.6.0 では修正パッチが含まれています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-378345

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!