Plataforma
php
Componente
freescout-help-desk
Corregido en
1.8.216
La vulnerabilidad CVE-2026-41194 afecta a FreeScout, un sistema de help desk auto-alojado, en versiones desde 1.0.0 hasta 1.8.215. Esta falla de tipo Cross-Site Request Forgery (CSRF) permite a un atacante desconectar cuentas OAuth de administradores de buzones sin autorización. La actualización a la versión 1.8.215 corrige esta vulnerabilidad, implementando la validación de tokens CSRF.
Un atacante puede explotar esta vulnerabilidad para desconectar cuentas OAuth de los buzones de correo electrónico administrados por FreeScout. Esto podría resultar en la pérdida de acceso a servicios de correo electrónico, interrupción del flujo de trabajo y posible exposición de información sensible si la cuenta OAuth está vinculada a otros servicios. El ataque se realiza enviando una solicitud HTTP GET maliciosa a un usuario autenticado, engañándolo para que desconecte su cuenta OAuth sin su conocimiento. La falta de validación de tokens CSRF facilita la ejecución de este ataque, similar a otras vulnerabilidades CSRF que han afectado a aplicaciones web.
La vulnerabilidad fue publicada el 2026-04-21. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace inherentemente explotable. La ausencia de un Proof of Concept (PoC) público no disminuye el riesgo, ya que la explotación de CSRF es relativamente sencilla. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar FreeScout a la versión 1.8.215 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Aunque no es una solución completa, se puede considerar la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar recursos. Además, monitorear los registros de FreeScout en busca de solicitudes sospechosas a la ruta /mailbox/oauth-disconnect/{id}/{in_out}/{provider} puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la corrección revisando los registros y realizando pruebas de seguridad para verificar que la validación de tokens CSRF esté funcionando correctamente.
Actualice FreeScout a la versión 1.8.215 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al implementar un token CSRF en la ruta de desconexión OAuth, previniendo ataques de falsificación de solicitudes entre sitios (CSRF).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-41194 is a Cross-Site Request Forgery (CSRF) vulnerability in FreeScout versions 1.0.0 through 1.8.214, allowing attackers to disconnect OAuth integrations.
You are affected if you are running FreeScout versions 1.0.0 through 1.8.214. Upgrade to version 1.8.215 or later to mitigate the vulnerability.
Upgrade FreeScout to version 1.8.215 or later. As a temporary workaround, restrict access to the /mailbox/oauth-disconnect endpoint.
There is currently no evidence of CVE-2026-41194 being actively exploited in the wild, and no public PoCs are available.
Refer to the FreeScout security advisory on their website or GitHub repository for the latest information and updates regarding CVE-2026-41194.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.