FreeScoutは、PHPのLaravelフレームワークで構築された無料のヘルプデスクおよび共有受信トレイです。バージョン1.8.208以前は、FreeScoutのメール通知テンプレートを介して、Stored Cross-Site Scripting (XSS) の脆弱性があります。受信メールの本文はサニタイズなしでデータベースに保存され、Bladeのraw出力構文 {!! $thread->body !!} を使用して、送信メール通知でエスケープなしでレンダリングされます。認証されていない攻撃者は、単にメールを送信するだけでこの脆弱性を悪用でき、サブスクライブしているエージェントまたは管理者が通常のワークフローの一部としてメールを開くと、

このXSS脆弱性は、攻撃者にとって非常に危険です。攻撃者は、FreeScoutのメール通知テンプレートを悪用して、任意のJavaScriptコードを注入できます。これにより、攻撃者はユーザーのセッションを乗っ取ったり、機密情報を盗み取ったり、悪意のあるサイトにリダイレクトしたりすることが可能になります。特に、管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が及ぶ可能性があります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性があり、迅速な対応が必要です。攻撃者は、受信メール本文に悪意のあるスクリプトを埋め込み、それが他のユーザーに送信される際に実行されるように仕向けます。

Organizations using FreeScout as a help desk or shared inbox solution are at risk, particularly those running versions 1.8.208 or earlier. Shared hosting environments where FreeScout is installed are especially vulnerable, as a compromise of one tenant could potentially impact others. Any organization handling sensitive customer data through FreeScout should prioritize patching.

• linux / server:

journalctl -u freescout | grep -i "html injection"

• generic web:

curl -I https://your-freescout-instance.com/emails/ | grep -i "content-type: text/html"

• wordpress / composer / npm: (Not applicable as FreeScout is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable, vulnerability is in the application layer) • windows / supply-chain: (Not applicable, FreeScout is typically deployed on Linux servers)

1. 2026-03-19Disclosure

   disclosure

1. 予約済み2026-03-13
2. 公開日2026-03-19
3. 更新日2026-03-23
4. EPSS 更新日2026-03-27

FreeScout Laravelヘルプデスクのバージョンを1.8.209以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。もしアップデートが困難な場合は、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、受信メール本文のサニタイズ処理を強化し、HTMLタグやJavaScriptコードを適切にエスケープすることで、攻撃の影響を軽減できます。FreeScoutのメール通知テンプレートのraw出力構文の使用を避け、適切にエスケープ処理を行うように設定変更してください。アップデート後、FreeScoutのログを確認し、異常なアクティビティがないか確認してください。