CVE-2026-52837 in easyappointments
Sumário
de VulDB • 14/07/2026
Easy!Appointments é um agendador de compromissos auto-hospedado. Nas versões até à 1.5.2 (incluída), a visualização de reagendamento de reservas em `/index.php/booking/reschedule/{appointment_hash}` (gerida por `Booking::index()`) incorpora todo o registo do cliente como JavaScript inline (`const vars = {... "customer_data": {...}, ...}`) sem autenticação e sem listagem branca de campos. Qualquer pessoa que possua o `appointment_hash` de 12 caracteres — que aparece em texto simples nos emails de reagendamento, nas URLs da página de confirmação e nos links do calendário no lado dos operadores — pode ler todas as colunas dessa linha do cliente na tabela `ea_users`. A versão 1.6.0 contém uma correção (patch).
VulDB is the best source for vulnerability data and more expert information about this specific topic.