Plateforme
php
Composant
freescout-help-desk
Corrigé dans
1.8.214
Une vulnérabilité de cross-site scripting (XSS) stockée a été découverte dans FreeScout, un système de helpdesk auto-hébergé. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant qui sera exécuté dans le navigateur d'autres utilisateurs. Elle affecte les versions de FreeScout antérieures à 1.8.213 et a été corrigée dans cette version. La mise à jour vers la dernière version est fortement recommandée.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les signatures des boîtes de réception. Lorsque d'autres utilisateurs accèdent à ces signatures, le code malveillant s'exécute dans leur contexte de navigateur, permettant à l'attaquant de voler des cookies, de rediriger les utilisateurs vers des sites malveillants, ou même de compromettre complètement leur session. Le risque est exacerbé si FreeScout est utilisé pour gérer des informations sensibles ou des communications confidentielles, car l'attaquant pourrait potentiellement accéder à ces données. La vulnérabilité est particulièrement préoccupante car elle est stockée, ce qui signifie que les signatures malveillantes peuvent persister et affecter plusieurs utilisateurs au fil du temps.
Cette vulnérabilité a été rendue publique le 2026-04-21. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun proof-of-concept public n'a été largement diffusé, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable par des attaquants ayant des compétences techniques. La faible liste de validation des balises HTML dans la fonction Helper::stripDangerousTags() est une source de préoccupation.
Organizations utilizing FreeScout for help desk and shared mailbox management are at risk. This includes businesses of all sizes, particularly those relying on self-hosted deployments. Shared hosting environments where multiple FreeScout instances reside on a single server are especially vulnerable, as a compromise of one instance could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/freescout/app/Http/Controllers/MailboxesController.php
grep -r 'event handler' /var/www/freescout/app/Misc/Helper.php• generic web:
curl -I http://your-freescout-instance/mailboxes/signatures/new | grep -i content-security-policydisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace est de mettre à jour FreeScout vers la version 1.8.213 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver la fonctionnalité de signature de boîte de réception. En outre, l'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les tentatives d'injection XSS. Surveillez les journaux d'accès et d'erreurs pour détecter des schémas d'activité suspects, tels que des requêtes contenant des balises HTML inhabituelles. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une analyse régulière des signatures de boîte de réception peut aider à identifier les injections potentielles.
Mettez à jour FreeScout à la version 1.8.213 ou supérieure pour atténuer la vulnérabilité XSS. Cette version corrige la sanitisation HTML dans les signatures de boîte de réception, en supprimant les attributs de gestionnaire d'événements dangereux et en s'assurant que seules les balises HTML sécurisées sont autorisées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40568 is a stored cross-site scripting (XSS) vulnerability in FreeScout versions 1.0.0 through 1.8.212, allowing attackers to inject malicious scripts via mailbox signatures.
You are affected if you are running FreeScout versions 1.0.0 through 1.8.212. Verify your version and upgrade immediately if vulnerable.
Upgrade FreeScout to version 1.8.213 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the FreeScout security advisory on their official website or GitHub repository for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.