CVE-2026-52838 in easyappointments
요약
\~에 의해 VulDB • 2026. 07. 14.
Easy!Appointments는 자체 호스팅되는 예약 스케줄러입니다. 버전 1.6.0 미만의 Easy!Appointments에서는 관리자가 예약 설정 페이지를 통해 사용자 정의 "예약 불가" 메시지를 정의할 수 있습니다. 이 값은 리치 텍스트 편집기를 통해 `disable_booking_message` 설정에 저장된 후, 이스케이프나 sanitization(정제) 없이 공개적인 `booking_message` 뷰로 직접 전달됩니다. 인증된 관리자는 해당 필드에 HTML 또는 JavaScript를 저장하고 예약 불가 모드를 활성화하여, 공개 예약 페이지를 방문하는 모든 비인증 사용자에게 스토리드 XSS(저장형 크로스 사이트 스크립팅)를 유발할 수 있습니다. 버전 1.6.0에서 이 문제가 해결되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.