CVE-2026-52841 in easyappointmentsИнформация

Сводка

по VulDB • 14.07.2026

Easy!Appointments — это автономное приложение для записи на прием. В версиях старше 1.6.0 метод `Google::oauth` в файле `application/controllers/Google.php:278` сохраняет переданный через URL параметр `provider_id` в сессии, а обработчик `oauth_callback` привязывает выданный токен Google OAuth к этой записи без проверки того, что вызывающая сторона действительно владеет данным провайдером. Любой авторизованный пользователь бэкенда (администратор, поставщик услуги или секретарь) может перепривязать синхронизацию с Google другого провайдера к учетной записи Google, которой он управляет. В результате встречи этого провайдора начинают синхронизироваться в календаре злоумышленника, причем данные каждого клиента (имя и адрес электронной почты) добавляются как информация об участнике мероприятия. Проблема исправлена в версии 1.6.0.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

14.07.2026

Модерация

принято

Вход

VDB-378342

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you know our Splunk app?

Download it now for free!