प्लेटफ़ॉर्म
php
घटक
freescout-help-desk
में ठीक किया गया
1.8.214
FreeScout एक मुफ्त, स्व-होस्टेड हेल्प डेस्क और साझा मेलबॉक्स समाधान है। CVE-2026-40568 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो FreeScout के संस्करण 1.0.0 से 1.8.213 तक के संस्करणों को प्रभावित करती है। इस भेद्यता का फायदा उठाकर हमलावर मेलबॉक्स हस्ताक्षर सुविधा के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है, जिससे उपयोगकर्ता के ब्राउज़र में अनधिकृत क्रियाएं हो सकती हैं। संस्करण 1.8.213 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। हमलावर दुर्भावनापूर्ण स्क्रिप्ट को मेलबॉक्स हस्ताक्षर में इंजेक्ट कर सकता है, जो तब किसी उपयोगकर्ता द्वारा मेलबॉक्स को देखने पर निष्पादित हो जाएगी। इससे हमलावर उपयोगकर्ता के कुकीज़ तक पहुंच प्राप्त कर सकता है, संवेदनशील जानकारी चुरा सकता है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में गंभीर है, जहां कई वेबसाइटें एक ही सर्वर पर होस्ट की जाती हैं, क्योंकि एक वेबसाइट पर भेद्यता का फायदा उठाकर अन्य वेबसाइटों पर भी हमला किया जा सकता है। इस भेद्यता का प्रभाव उपयोगकर्ता डेटा की गोपनीयता और अखंडता के लिए गंभीर खतरा है।
CVE-2026-40568 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं, लेकिन इसकी उच्च गंभीरता के कारण, इसका फायदा उठाया जाने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक नहीं हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD (National Vulnerability Database) में 2026-04-21 को प्रकाशित किया गया था।
Organizations utilizing FreeScout for help desk and shared mailbox management are at risk. This includes businesses of all sizes, particularly those relying on self-hosted deployments. Shared hosting environments where multiple FreeScout instances reside on a single server are especially vulnerable, as a compromise of one instance could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/freescout/app/Http/Controllers/MailboxesController.php
grep -r 'event handler' /var/www/freescout/app/Misc/Helper.php• generic web:
curl -I http://your-freescout-instance/mailboxes/signatures/new | grep -i content-security-policydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40568 को कम करने के लिए, FreeScout को तुरंत संस्करण 1.8.213 में अपडेट करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके मेलबॉक्स हस्ताक्षर इनपुट को फ़िल्टर किया जा सकता है ताकि दुर्भावनापूर्ण HTML टैग और इवेंट हैंडलर विशेषताओं को ब्लॉक किया जा सके। इसके अतिरिक्त, FreeScout के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि सभी सुरक्षा सेटिंग्स उचित रूप से कॉन्फ़िगर की गई हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, मेलबॉक्स हस्ताक्षर में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने का प्रयास करके और यह सुनिश्चित करके कि स्क्रिप्ट निष्पादित नहीं होती है।
XSS भेद्यता को कम करने के लिए FreeScout को संस्करण 1.8.213 या उच्चतर में अपडेट करें। यह संस्करण मेलबॉक्स हस्ताक्षर में HTML सैनिटाइजेशन को ठीक करता है, खतरनाक इवेंट हैंडलर विशेषताओं को हटाता है और सुनिश्चित करता है कि केवल सुरक्षित HTML टैग की अनुमति है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40568 FreeScout हेल्प डेस्क के मेलबॉक्स हस्ताक्षर सुविधा में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप FreeScout के संस्करण 1.0.0 से 1.8.213 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-40568 को ठीक करने के लिए, FreeScout को तुरंत संस्करण 1.8.213 में अपडेट करें।
CVE-2026-40568 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं, लेकिन इसकी उच्च गंभीरता के कारण, इसका फायदा उठाया जाने की संभावना है।
आप FreeScout सलाहकार यहां पा सकते हैं: [FreeScout Advisory URL - Placeholder]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।