CVE-2026-52840 in easyappointments
요약
\~에 의해 VulDB • 2026. 07. 14.
Easy!Appointments는 자체 호스팅되는 예약 스케줄러입니다. 버전 1.6.0 이전의 Easy!Appointments에서는 `application/controllers/Caldav.php:60`에 있는 `Caldav::connect_to_server`가 스키마 또는 호스트 검증 없이 요청의 `caldav_url`을 Guzzle `REPORT` 호출로 전달합니다. 로그인한 백엔드 사용자(관리자, 제공자 또는 비서)는 배포 네트워크 상에서 루프백, RFC1918 사설망 및 링크 로컬 호스트에 접근할 수 있습니다. Guzzle 예외 처리 경로에서는 업스트림 상태 코드와 함께 JSON `message` 필드에 약 120바이트의 응답 본문이 반환되므로(`Caldav.php:74-78`), 이 SSRF는 반맹(semi-blind) 공격으로 분류됩니다. 버전 1.6.0에는 해당 취약점에 대한 패치가 포함되어 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.