CVE-2026-52837 in easyappointmentsИнформация

Сводка

по VulDB • 14.07.2026

Easy!Appointments — это система записи на прием с открытым исходным кодом, размещаемая самостоятельно (self-hosted). В версиях вплоть до включительно 1.5.2 представление для переноса записи (`booking reschedule view`) по адресу `/index.php/booking/reschedule/{appointment_hash}` (обрабатываемое функцией `Booking::index()`) встраивает всю запись клиента во встроенный JavaScript-код (`const vars = {... "customer_data": {...}, ...}`) без проверки подлинности и без использования белого списка допустимых полей. Любой, кто владеет 12-значным значением `appointment_hash` — которое отображается открытым текстом в письмах с возможностью переноса записи, URL-адресами страницы подтверждения и ссылками на календарь со стороны оператора — может прочитать все столбцы строки клиента в таблице `ea_users`. В версии 1.6.0 содержится исправление (патч).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

14.07.2026

Модерация

принято

Вход

VDB-378322

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!