Cal.com-Schwachstelle mit maximaler Kritikalität

Angreifende können über die Sicherheitslücke das Benutzerkonto des Opfers kapern und missbrauchen. Das Einzige, was man dafür wissen muss, ist die angemeldete E-Mail-Adresse. Angreifende haben damit Zugriff auf die Daten dieses Kontos, die sie für ihre Zwecke ausnutzen können. Wenn dieser Benutzer Administratorberechtigung besitzt, haben auch die Angreifenden diese Berechtigung – mit den entsprechenden weitreichenden Konsequenzen. Sicherheitsfunktionen wie eine Zwei-Faktor-Authentifizierung oder ein Schutz durch externe Identitätsanbieter (IdP: Identity Provider) sind aufgrund des Wesens der Lücke unwirksam.

Die Schwachstelle besitzt die Kennung CVE-2026-23478 (EUVD-2026-2413) mit dem höchstmöglichen CVSS-Base-Score von 10. Betroffen sind die Versionen 3.1.6 bis vor 6.0.7 von Cal.com. Eine aktive und erfolgreiche Ausnutzung ist nicht bekannt.

Dies ist Veröffentlichungen auf Github und verschiedenen Medien zu entnehmen. Weitere Informationen finden Sie in den Links unten.

Cal.com ist eine Open-Source-Termplanungs-Software.

Aktualisieren Sie Cal.com auf Version 6.0.7 oder höher, wenn Sie das Produkt selbst betreiben. Die von Cal.com selbst gehosteten Instanzen sind nach eigenen Angaben bereits aktualisiert.