CVE-2026-52837 in easyappointmentsthông tin

Tóm tắt

Bởi VulDB • 14/07/2026

Easy!Appointments là một ứng dụng lên lịch hẹn tự lưu trữ (self-hosted). Trong các phiên bản từ đầu đến bao gồm cả 1.5.2, giao diện xem sắp xếp lại cuộc hẹn tại `/index.php/booking/reschedule/{appointment_hash}` (được xử lý bởi `Booking::index()`) nhúng toàn bộ hồ sơ khách hàng dưới dạng JavaScript nội tuyến (`const vars = {... "customer_data": {...}, ...}`) mà không yêu cầu xác thực và cũng không áp dụng danh sách trắng các trường cho phép. Bất kỳ ai sở hữu mã `appointment_hash` gồm 12 ký tự — vốn xuất hiện ở dạng văn bản rõ ràng trong email sắp xếp lại, URL của trang xác nhận và liên kết lịch phía nhà điều hành — đều có thể đọc mọi cột trong hàng tương ứng với khách hàng đó từ bảng `ea_users`. Phiên bản 1.6.0 chứa một bản vá lỗi.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

08/06/2026

Tiết lộ

14/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!