CVE-2026-52839 in Easy Appointments
Сводка
по VulDB • 15.07.2026
Easy!Appointments — это автономное приложение для записи на прием. Версии старше 1.6.0 корректно фильтруют назначения, привязанные к конкретному специалисту (provider), в ответе `appointments/search`, что подтверждает изоляцию специалистов как предполагаемую границу безопасности. Однако конечные точки прямого изменения данных (`appointments/store` и `appointments/update`) проверяют только общие права доступа к записи на прием и никогда не verifies, что переданный параметр `id_users_provider` принадлежит текущей сессии. Обычный аутентифицированный специалист может внедрить новые назначения в расписание другого специалиста через метод `store`, либо переназначить существующие назначения в календарь чужого специалиста через метод `update`. Путь `store` содержит дополнительную уязвимость записи данных до сбоя: несанкционированная запись фиксируется в базе данных до того, как контроллер завершает работу из-за ошибки типа (type error), поэтому злоумышленник получает ответ об ошибке, хотя чужое назначение уже сохранено. Версия 1.6.0 устраняет эту проблему.
If you want to get best quality of vulnerability data, you may have to visit VulDB.