JVNDB-2026-002084

Easy!Appointmentsにおけるクロスサイトリクエストフォージェリの脆弱性

Easy!Appointmentsはセルフホスト型の予約スケジューラーです。バージョン1.5.2およびそれ以前では、application/core/EA_Security.phpのcsrf_verify()関数がPOSTリクエストに対してのみCSRFを強制し、POST以外のメソッドの場合は早期に処理を終了します。複数のアプリケーションのエンドポイントはGET（または$_REQUEST）からのパラメータを受け入れながら状態を変更する操作を実行するため、攻撃者は被害者のブラウザに細工されたGETリクエストを送信させることでCSRF攻撃を行うことが可能です。影響としては、管理者アカウントを作成でき、管理者のメールアドレスやパスワードを変更でき、管理者アカウントを完全に乗っ取られる可能性があります。

Easy!Appointments

• Easy!Appointments 1.5.2 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : CSRF Protection Bypass: Sensitive endpoints accept GET requests, enabling admin account takeover  Advisory  alextselegidis/easyappointments  GitHub

1. クロスサイトリクエストフォージェリ(CWE-352) [その他]

1. CVE-2026-23622

1. National Vulnerability Database (NVD) : CVE-2026-23622

• [2026年01月29日]
    掲載