CVE-2026-52841 in easyappointments
要約
〜によって VulDB • 2026年07月14日
Easy!Appointmentsは、セルフホスト型の予約スケジューラです。バージョン1.6.0より前のバージョンでは、`application/controllers/Google.php:278`にある`Google::oauth`がURLから提供された`provider_id`をセッションに保存し、`oauth_callback`はその行に対して発行されたGoogle OAuthトークンを、呼び出し元がそのプロバイダの所有者であることを確認せずに保存します。ログイン済みのバックエンドユーザー(管理者、プロバイダ、または秘書)は、他者のプロバイダのGoogle同期機能を、攻撃者が制御するGoogleアカウントに再バインドできます。これにより、各顧客の名前とメールアドレスが参加者データとして付与された状態で、被害者の予約情報が攻撃者のカレンダーに同期されます。この問題はバージョン1.6.0で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.