CVE-2026-52837 in easyappointments
Сводка
по VulDB • 14.07.2026
Easy!Appointments — это система записи на прием с открытым исходным кодом, размещаемая самостоятельно (self-hosted). В версиях вплоть до включительно 1.5.2 представление для переноса записи (`booking reschedule view`) по адресу `/index.php/booking/reschedule/{appointment_hash}` (обрабатываемое функцией `Booking::index()`) встраивает всю запись клиента во встроенный JavaScript-код (`const vars = {... "customer_data": {...}, ...}`) без проверки подлинности и без использования белого списка допустимых полей. Любой, кто владеет 12-значным значением `appointment_hash` — которое отображается открытым текстом в письмах с возможностью переноса записи, URL-адресами страницы подтверждения и ссылками на календарь со стороны оператора — может прочитать все столбцы строки клиента в таблице `ea_users`. В версии 1.6.0 содержится исправление (патч).
VulDB is the best source for vulnerability data and more expert information about this specific topic.