PT-2026-58067 · Unknown · Easyappointments

CVE-2026-52839

·

Publicado

2026-07-14

·

Atualizado

2026-07-14

CVSS v3.1

3.3

Baixa

VetorAV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Easy!Appointments versões anteriores a 1.6.0
Description Existe um problema onde a aplicação falha ao verificar se o id users provider enviado para endpoints específicos pertence à sessão atual. Embora o isolamento de provedores seja mantido nas respostas de pesquisa, os endpoints de mutação 'appointments/store' e 'appointments/update' verificam apenas privilégios genéricos. Isso permite que um provedor autenticado insira novos agendamentos na agenda de outro provedor ou reatribua agendamentos existentes para o calendário de um provedor diferente. Além disso, o endpoint 'appointments/store' contém um erro de gravação antes da falha (write-before-crash), onde dados não autorizados são gravados no banco de dados antes que um erro de tipo cause a falha do controlador, resultando na persistência dos dados apesar de o usuário receber uma resposta de erro.
Recommendations Atualizar para a versão 1.6.0. Restringir o uso da variável id users provider nos endpoints 'appointments/store' e 'appointments/update' até que a atualização seja aplicada.

Exploit

Correção

Missing Authorization

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-52839
GHSA-W8XC-8G92-V77H

Produtos afetados

Easyappointments