CVE-2022-0482

alextselegidis/easyappointments versões anteriores à 1.4.3

O problema diz respeito à exposição de informações pessoais privadas a um agente não autorizado devido a uma vulnerabilidade de controle de acesso defeituoso no plugin Easy Appointments. Essa vulnerabilidade permite que usuários não autenticados acessem dados privados do usuário armazenados no sistema de destino devido a um erro nas verificações de permissão da API. A vulnerabilidade foi descoberta pelo pesquisador de segurança Francesco Carlucci e relatada aos desenvolvedores. Embora uma correção tenha sido lançada, a falta de um sistema de atualização automática ou de notificação para o Easy Appointments significa que muitas instâncias permanecem vulneráveis, colocando os dados dos usuários em risco. A vulnerabilidade pode ser explorada por meio do endpoint /index.php/backend api/ajax get calendar events, que carece de verificações de autenticação e permissões, exigindo apenas os parâmetros startDate, endDate e csrfToken em uma solicitação POST. O csrfToken pode ser obtido acessando o formulário público, tornando-o acessível a qualquer usuário não autenticado.

Para versões anteriores à 1.4.3, atualize o software para a versão 1.4.3 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint /index.php/backend api/ajax get calendar events até que um patch seja aplicado. Além disso, os usuários podem baixar manualmente o patch do GitHub e aplicá-lo a qualquer versão anterior.