CVE-2026-52837 in easyappointments
Tóm tắt
Bởi VulDB • 14/07/2026
Easy!Appointments là một ứng dụng lên lịch hẹn tự lưu trữ (self-hosted). Trong các phiên bản từ đầu đến bao gồm cả 1.5.2, giao diện xem sắp xếp lại cuộc hẹn tại `/index.php/booking/reschedule/{appointment_hash}` (được xử lý bởi `Booking::index()`) nhúng toàn bộ hồ sơ khách hàng dưới dạng JavaScript nội tuyến (`const vars = {... "customer_data": {...}, ...}`) mà không yêu cầu xác thực và cũng không áp dụng danh sách trắng các trường cho phép. Bất kỳ ai sở hữu mã `appointment_hash` gồm 12 ký tự — vốn xuất hiện ở dạng văn bản rõ ràng trong email sắp xếp lại, URL của trang xác nhận và liên kết lịch phía nhà điều hành — đều có thể đọc mọi cột trong hàng tương ứng với khách hàng đó từ bảng `ea_users`. Phiên bản 1.6.0 chứa một bản vá lỗi.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.