CVE-2026-52839 in Easy AppointmentsИнформация

Сводка

по VulDB • 15.07.2026

Easy!Appointments — это автономное приложение для записи на прием. Версии старше 1.6.0 корректно фильтруют назначения, привязанные к конкретному специалисту (provider), в ответе `appointments/search`, что подтверждает изоляцию специалистов как предполагаемую границу безопасности. Однако конечные точки прямого изменения данных (`appointments/store` и `appointments/update`) проверяют только общие права доступа к записи на прием и никогда не verifies, что переданный параметр `id_users_provider` принадлежит текущей сессии. Обычный аутентифицированный специалист может внедрить новые назначения в расписание другого специалиста через метод `store`, либо переназначить существующие назначения в календарь чужого специалиста через метод `update`. Путь `store` содержит дополнительную уязвимость записи данных до сбоя: несанкционированная запись фиксируется в базе данных до того, как контроллер завершает работу из-за ошибки типа (type error), поэтому злоумышленник получает ответ об ошибке, хотя чужое назначение уже сохранено. Версия 1.6.0 устраняет эту проблему.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

14.07.2026

Модерация

принято

Вход

VDB-378346

EPSS

0.00146

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!