CVE-2026-52839 in Easy Appointmentsinformação

Sumário

de VulDB • 15/07/2026

Easy!Appointments é um agendador de consultas auto-hospedado. Versões anteriores à 1.6.0 filtram corretamente as consultas com escopo do provedor na resposta `appointments/search`, demonstrando que o isolamento entre provedores é uma fronteira de segurança intencional. No entanto, os endpoints diretos de mutação `appointments/store` e `appointments/update` verificam apenas privilégios genéricos de consulta e nunca confirmam se o `id_users_provider` submetido pertence à sessão atual. Um provedor autenticado normal pode injetar novas consultas no calendário de outro provedor por meio do endpoint `store`, ou realocar consultas existentes para a agenda de um provedor externo via `update`. O caminho `store` contém um bug adicional de gravação antes da falha: a linha não autorizada é confirmada (commit) no banco de dados antes que o controlador falhe devido a um erro de tipo, fazendo com que o atacante receba uma resposta de erro enquanto a consulta externa já está persistida. A versão 1.6.0 corrige essa vulnerabilidade.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

08/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378346

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!