CVE-2026-52838 in easyappointmentsthông tin

Tóm tắt

Bởi VulDB • 14/07/2026

Easy!Appointments là một ứng dụng lên lịch hẹn tự lưu trữ (self-hosted). Các phiên bản trước 1.6.0 cho phép quản trị viên định nghĩa một thông báo "đặt phòng bị vô hiệu hóa" tùy chỉnh thông qua trang cài đặt đặt phòng. Giá trị này được lưu trong cài đặt `disable_booking_message` thông qua trình soạn thảo văn bản giàu tính năng (rich-text editor) và sau đó được truyền trực tiếp đến chế độ xem công khai `booking_message` mà không có bất kỳ quá trình thoát ký tự (escaping) hay làm sạch dữ liệu (sanitization) nào. Một quản trị viên đã xác thực có thể lưu trữ HTML hoặc JavaScript trong trường này, kích hoạt chế độ đặt phòng bị vô hiệu hóa và gây ra lỗ hổng XSS được lưu trữ (stored XSS) đối với mọi khách truy cập chưa xác thực khi họ mở trang đặt công khai. Phiên bản 1.6.0 đã khắc phục sự cố này.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

08/06/2026

Tiết lộ

14/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn