FreeScout एक मुफ्त हेल्प डेस्क और साझा इनबॉक्स है जो PHP के Laravel फ्रेमवर्क के साथ बनाया गया है। संस्करण 1.8.208 और उससे नीचे के संस्करण Stored Cross-Site Scripting (XSS) के प्रति FreeScout के ईमेल नोटिफिकेशन टेम्प्लेट के माध्यम से कमजोर हैं। आने वाले ईमेल बॉडी को डेटाबेस में बिना सैनिटाइजेशन के संग्रहीत किया जाता है और Blade के raw आउटपुट सिंटैक्स {!! $thread->body !!} का उपयोग करके आउटगोइंग ईमेल नोटिफिकेशन में बिना एस्केप किए रेंडर किया जाता है। एक अनधिकृत हमलावर बस एक ईमेल भेजकर इस भेद्यता का फायदा उठा सकता है, और जब किसी भी सब्सक्राइब किए गए एजेंट या व्यवस्थापक द्वारा उनके सामान्य वर्कफ़्लो के हिस्से के रूप में खोला जाता है, तो सभी प्राप्तकर्ताओं को एक साथ प्रभावित करने वाले यूनिवर्सल HTML इंजेक्शन (फ़िशिंग, ट्रैकिंग) और, कमजोर ईमेल क्लाइंट में, JavaScript निष्पादन (सेशन हाईजैकिंग, क्रेडेंशियल चोरी, अकाउंट टेकओवर) को सक्षम करता है। इस समस्या को संस्करण 1.8.209 में ठीक किया गया है।

यह भेद्यता हमलावरों को अनधिकृत HTML कोड इंजेक्ट करने की अनुमति देती है, जो तब किसी भी एजेंट या व्यवस्थापक द्वारा ईमेल खोलने पर निष्पादित हो सकता है। हमलावर ईमेल के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं, जो उपयोगकर्ताओं को फ़िशिंग वेबसाइटों पर रीडायरेक्ट कर सकता है, कुकीज़ चुरा सकता है, या अन्य दुर्भावनापूर्ण क्रियाएं कर सकता है। चूंकि भेद्यता बिना प्रमाणीकरण के शोषण योग्य है, इसलिए हमलावर को केवल एक ईमेल भेजने की आवश्यकता है। यह भेद्यता व्यापक प्रभाव डाल सकती है, क्योंकि सभी सब्सक्राइब किए गए एजेंट और व्यवस्थापक जोखिम में हैं। यह भेद्यता Log4Shell जैसे अन्य XSS भेद्यताओं के समान है, जहां एक हमलावर अनपेक्षित कोड निष्पादित करने के लिए एक इनपुट फ़ील्ड का दुरुपयोग कर सकता है।

Organizations using FreeScout as a help desk or shared inbox solution are at risk, particularly those running versions 1.8.208 or earlier. Shared hosting environments where FreeScout is installed are especially vulnerable, as a compromise of one tenant could potentially impact others. Any organization handling sensitive customer data through FreeScout should prioritize patching.

• linux / server:

journalctl -u freescout | grep -i "html injection"

• generic web:

curl -I https://your-freescout-instance.com/emails/ | grep -i "content-type: text/html"

• wordpress / composer / npm: (Not applicable as FreeScout is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable, vulnerability is in the application layer) • windows / supply-chain: (Not applicable, FreeScout is typically deployed on Linux servers)

1. 2026-03-19Disclosure

   disclosure

1. आरक्षित2026-03-13
2. प्रकाशित2026-03-19
3. संशोधित2026-03-23
4. EPSS अद्यतन2026-03-27

इस भेद्यता को कम करने के लिए, FreeScout को तुरंत संस्करण 1.8.209 में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, ईमेल नोटिफिकेशन टेम्प्लेट में raw आउटपुट सिंटैक्स {!! $thread->body !!} को हटाकर या उचित एस्केपिंग लागू करके ईमेल बॉडी को सैनिटाइज करने पर विचार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करना भी संभव है। WAF नियमों को ईमेल नोटिफिकेशन में संभावित दुर्भावनापूर्ण HTML कोड को पहचानने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। अपग्रेड के बाद, यह सत्यापित करें कि ईमेल नोटिफिकेशन में HTML कोड ठीक से एस्केप किया गया है और कोई दुर्भावनापूर्ण स्क्रिप्ट निष्पादित नहीं हो रही है।