PT-2026-58067 · Unknown · Easyappointments
CVE-2026-52839
·
Publicado
2026-07-14
·
Atualizado
2026-07-14
CVSS v3.1
3.3
Baixa
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Easy!Appointments versões anteriores a 1.6.0
Description
Existe um problema onde a aplicação falha ao verificar se o
id users provider enviado para endpoints específicos pertence à sessão atual. Embora o isolamento de provedores seja mantido nas respostas de pesquisa, os endpoints de mutação 'appointments/store' e 'appointments/update' verificam apenas privilégios genéricos. Isso permite que um provedor autenticado insira novos agendamentos na agenda de outro provedor ou reatribua agendamentos existentes para o calendário de um provedor diferente. Além disso, o endpoint 'appointments/store' contém um erro de gravação antes da falha (write-before-crash), onde dados não autorizados são gravados no banco de dados antes que um erro de tipo cause a falha do controlador, resultando na persistência dos dados apesar de o usuário receber uma resposta de erro.Recommendations
Atualizar para a versão 1.6.0.
Restringir o uso da variável
id users provider nos endpoints 'appointments/store' e 'appointments/update' até que a atualização seja aplicada.Exploit
Correção
Missing Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Easyappointments