FreeScout est un système de gestion de tickets et une boîte de réception partagée gratuit, construit avec le framework PHP Laravel. Les versions 1.8.208 et antérieures sont vulnérables à une attaque de Cross-Site Scripting (XSS) stocké via les modèles de notification par e-mail de FreeScout. Les corps des e-mails entrants sont stockés dans la base de données sans assainissement et rendus sans échappement dans les notifications e-mail sortantes en utilisant la syntaxe de sortie brute de Blade {!! $thread->body !!}. Un attaquant non authentifié peut exploiter cette vulnérabilité simplement en envoyant un e-mail, et lorsque celui-ci est ouvert par un

L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la faille en envoyant simplement un email. Lorsque cet email est ouvert par un agent ou un administrateur FreeScout, le code malveillant injecté est exécuté dans le contexte du navigateur de l'utilisateur. Cela peut permettre à l'attaquant de voler des cookies, de rediriger l'utilisateur vers un site malveillant, ou même de modifier le contenu de l'application FreeScout. La nature stockée de la XSS rend l'exploitation relativement simple et potentiellement à grande échelle, affectant tous les utilisateurs de FreeScout qui reçoivent des notifications par email.

Organizations using FreeScout as a help desk or shared inbox solution are at risk, particularly those running versions 1.8.208 or earlier. Shared hosting environments where FreeScout is installed are especially vulnerable, as a compromise of one tenant could potentially impact others. Any organization handling sensitive customer data through FreeScout should prioritize patching.

• linux / server:

journalctl -u freescout | grep -i "html injection"

• generic web:

curl -I https://your-freescout-instance.com/emails/ | grep -i "content-type: text/html"

• wordpress / composer / npm: (Not applicable as FreeScout is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable, vulnerability is in the application layer) • windows / supply-chain: (Not applicable, FreeScout is typically deployed on Linux servers)

1. 2026-03-19Disclosure

   disclosure

1. Réservé2026-03-13
2. Publiée2026-03-19
3. Modifiée2026-03-23
4. EPSS mis à jour2026-03-27

La mitigation principale consiste à mettre à jour FreeScout vers la version 1.8.209, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible d'appliquer des mesures d'atténuation temporaires. Il est crucial de désactiver ou de restreindre l'utilisation de la syntaxe Blade {!! $thread->body !!} dans les modèles d'email. Une autre option consiste à implémenter une validation et un échappement rigoureux des données entrantes avant de les stocker dans la base de données et de les utiliser dans les notifications. Après la mise à jour, vérifiez que les notifications par email ne contiennent plus de code malveillant en envoyant un email de test contenant des caractères spéciaux.