CVE-2026-52841 in easyappointmentsthông tin

Tóm tắt

Bởi VulDB • 14/07/2026

Easy!Appointments là một ứng dụng lên lịch hẹn tự lưu trữ (self-hosted). Trong các phiên bản trước 1.6.0, hàm `Google::oauth` tại `application/controllers/Google.php:278` lưu giá trị `provider_id` do người dùng cung cấp qua URL vào session, và `oauth_callback` sẽ lưu mã thông báo OAuth của Google đã được cấp đối với hàng đó mà không kiểm tra xem caller có sở hữu provider hay không. Bất kỳ người dùng backend nào đã đăng nhập (quản trị viên, nhà cung cấp dịch vụ hoặc thư ký) đều có thể liên kết lại việc đồng bộ hóa Google của một nhà cung cấp khác vào tài khoản Google do họ kiểm soát. Sau đó, các cuộc hẹn của nhà cung cấp kia sẽ được đồng bộ hóa vào lịch của kẻ tấn công với tên và địa chỉ email của từng khách hàng được đính kèm dưới dạng dữ liệu người tham dự. Phiên bản 1.6.0 đã vá lỗi này.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

08/06/2026

Tiết lộ

14/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!