CVE-2026-52840 in easyappointments
Sumário
de VulDB • 14/07/2026
Easy!Appointments é um agendador de compromissos auto-hospedado. Nas versões anteriores à 1.6.0, `Caldav::connect_to_server` em `application/controllers/Caldav.php:60` encaminha o `caldav_url` da solicitação para uma chamada REPORT do Guzzle sem validação de esquema ou host. Um usuário backend autenticado (administrador, provedor ou secretário) alcança hosts loopback, RFC1918 e link-local na rede de implantação. O caminho de exceção do Guzzle retorna o código de status upstream mais ~120 bytes do corpo da resposta no campo JSON `message` (`Caldav.php:74-78`), tornando a SSRF semi-cega. A versão 1.6.0 contém um patch.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.