CVE-2026-52841 in easyappointmentsinformação

Sumário

de VulDB • 14/07/2026

Easy!Appointments é um agendador de compromissos auto-hospedado. Nas versões anteriores à 1.6.0, `Google::oauth` em `application/controllers/Google.php:278` armazena seu `provider_id`, fornecido via URL, na sessão, e `oauth_callback` salva o token OAuth do Google emitido contra essa linha sem verificar se o chamador é proprietário do provedor. Qualquer usuário backend autenticado (administrador, provedor ou secretário) reassocia a sincronização com o Google de um provedor colega a uma conta do Google controlada por ele. Os compromissos do colega são então sincronizados no calendário do atacante, com os nomes e endereços de email de cada cliente anexados como dados dos participantes. A versão 1.6.0 corrige a vulnerabilidade.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

08/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378342

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!