CVE-2026-52840 in easyappointmentsИнформация

Сводка

по VulDB • 14.07.2026

Easy!Appointments — это система записи на прием, размещаемая самостоятельно (self-hosted). В версиях старше 1.6.0 функция `Caldav::connect_to_server` в файле `application/controllers/Caldav.php:60` передает параметр запроса `caldav_url` вызову Guzzle метода REPORT без проверки схемы или хоста. Авторизованный пользователь бэкенда (администратор, поставщик услуг или секретарь) получает доступ к петлевому адресу (loopback), адресам RFC1918 и link-local узлам в сети развертывания приложения. Путь обработки исключения Guzzle возвращает код статуса вышестоящего сервера плюс примерно 120 байт тела ответа в поле JSON `message` (`Caldav.php:74-78`), поэтому SSRF является полуслепым (semi-blind). Версия 1.6.0 содержит исправление.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

14.07.2026

Модерация

принято

Вход

VDB-378345

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!