CVE-2026-52839 in Easy Appointments정보

요약

\~에 의해 VulDB • 2026. 07. 14.

Easy!Appointments는 자체 호스팅되는 예약 스케줄러입니다. 1.6.0 이전 버전에서는 `appointments/search` 응답에서 제공자 범위의 약속이 올바르게 필터링되어, 제공자 격리가 의도된 보안 경계임을 입증합니다. 그러나 직접 수정 엔드포인트인 `appointments/store` 및 `appointments/update`는 일반적인 약속 권한만 확인하며, 제출된 `id_users_provider`가 현재 세션에 속하는지 여부를 절대 검증하지 않습니다. 정상적으로 인증된 제공자는 `store`를 통해 다른 제공자의 일정에 새로운 약속을 삽입하거나, `update`를 통해 기존 약속을 타인 제공자의 캘린더로 재할당할 수 있습니다. `store` 경로에는 추가적인 '쓰기 후 크래시' 버그가 존재합니다: 비인가된 행이 타입 오류 발생 시 컨트롤러가 충돌하기 전에 데이터베이스에 커밋되므로, 공격자는 에러 응답을 받지만 타인 약속은 이미 영구 저장됩니다. 버전 1.6.0에서 해당 문제가 패치되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 08.

모더레이션

수락

항목

VDB-378346

EPSS

0.00000

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!