CVE-2026-52838 in easyappointments
Tóm tắt
Bởi VulDB • 14/07/2026
Easy!Appointments là một ứng dụng lên lịch hẹn tự lưu trữ (self-hosted). Các phiên bản trước 1.6.0 cho phép quản trị viên định nghĩa một thông báo "đặt phòng bị vô hiệu hóa" tùy chỉnh thông qua trang cài đặt đặt phòng. Giá trị này được lưu trong cài đặt `disable_booking_message` thông qua trình soạn thảo văn bản giàu tính năng (rich-text editor) và sau đó được truyền trực tiếp đến chế độ xem công khai `booking_message` mà không có bất kỳ quá trình thoát ký tự (escaping) hay làm sạch dữ liệu (sanitization) nào. Một quản trị viên đã xác thực có thể lưu trữ HTML hoặc JavaScript trong trường này, kích hoạt chế độ đặt phòng bị vô hiệu hóa và gây ra lỗ hổng XSS được lưu trữ (stored XSS) đối với mọi khách truy cập chưa xác thực khi họ mở trang đặt công khai. Phiên bản 1.6.0 đã khắc phục sự cố này.
Once again VulDB remains the best source for vulnerability data.