CVE-2026-52841 in easyappointments情報

要約

〜によって VulDB • 2026年07月14日

Easy!Appointmentsは、セルフホスト型の予約スケジューラです。バージョン1.6.0より前のバージョンでは、`application/controllers/Google.php:278`にある`Google::oauth`がURLから提供された`provider_id`をセッションに保存し、`oauth_callback`はその行に対して発行されたGoogle OAuthトークンを、呼び出し元がそのプロバイダの所有者であることを確認せずに保存します。ログイン済みのバックエンドユーザー(管理者、プロバイダ、または秘書)は、他者のプロバイダのGoogle同期機能を、攻撃者が制御するGoogleアカウントに再バインドできます。これにより、各顧客の名前とメールアドレスが参加者データとして付与された状態で、被害者の予約情報が攻撃者のカレンダーに同期されます。この問題はバージョン1.6.0で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-378342

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!