Plataforma
laravel
Componente
laravel
Corregido en
1.8.210
1.8.210
FreeScout, un sistema de help desk y buzón compartido construido con Laravel, presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenada. Esta falla permite a atacantes inyectar código malicioso a través de emails, que se ejecutan cuando son procesados por agentes o administradores. Las versiones afectadas son aquellas anteriores o iguales a 1.8.208; la solución es actualizar a la versión 1.8.209.
La vulnerabilidad de XSS almacenada en FreeScout permite a un atacante inyectar código JavaScript arbitrario en las notificaciones por correo electrónico enviadas a los usuarios de FreeScout. Un atacante podría enviar un correo electrónico especialmente diseñado con código JavaScript malicioso en el cuerpo del mensaje. Cuando un agente o administrador de FreeScout abre este correo electrónico, el código JavaScript se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o realizar otras acciones en nombre del usuario. El impacto es significativo, ya que la inyección es universal, afectando a todos los usuarios con acceso al sistema, y no requiere autenticación previa para el atacante.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. No se ha reportado explotación activa a la fecha. La severidad es CRÍTICA debido al potencial de ejecución de código arbitrario y la facilidad de explotación. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación.
Organizations using FreeScout as a help desk or shared inbox solution are at risk, particularly those running versions 1.8.208 or earlier. Shared hosting environments where FreeScout is installed are especially vulnerable, as a compromise of one tenant could potentially impact others. Any organization handling sensitive customer data through FreeScout should prioritize patching.
• linux / server:
journalctl -u freescout | grep -i "html injection"• generic web:
curl -I https://your-freescout-instance.com/emails/ | grep -i "content-type: text/html"• wordpress / composer / npm: (Not applicable as FreeScout is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable, vulnerability is in the application layer) • windows / supply-chain: (Not applicable, FreeScout is typically deployed on Linux servers)
disclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar FreeScout a la versión 1.8.209, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar validación y sanitización exhaustivas de todos los datos de entrada de correo electrónico antes de almacenarlos en la base de datos. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso en el cuerpo del correo electrónico. Es crucial revisar las plantillas de correo electrónico existentes para asegurar que no se estén utilizando funciones de salida sin escape (como Blade's {!! $thread->body !!}).
Actualice FreeScout a la versión 1.8.209 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado al escapar correctamente el contenido de los correos electrónicos en las plantillas de notificación. La actualización evitará la ejecución de código JavaScript malicioso en los clientes de correo electrónico de los agentes y administradores.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32754 is a critical Stored Cross-Site Scripting (XSS) vulnerability in FreeScout versions 1.8.208 and earlier. It allows attackers to inject malicious HTML into email notifications.
Yes, if you are using FreeScout versions 1.8.208 or earlier, you are vulnerable to this XSS attack.
Upgrade FreeScout to version 1.8.209 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
No active exploitation campaigns have been reported, but the vulnerability's ease of exploitation suggests it may be targeted soon.
Refer to the FreeScout security advisory on their official website or GitHub repository for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo composer.lock y te decimos al instante si estás afectado.