プラットフォーム
php
コンポーネント
freescout
修正版
1.8.216
FreeScoutは、無料のセルフホスト型ヘルプデスクおよび共有メールボックスシステムです。CVE-2026-41193は、FreeScoutのモジュールインストール機能における脆弱性であり、認証された管理者が悪意のあるZIPファイルをアップロードすることで、サーバーファイルシステムに任意にファイルを書き込むことが可能です。この脆弱性はバージョン1.0.0から1.8.214までのFreeScoutに影響を与え、バージョン1.8.215で修正されました。
このRCE脆弱性を悪用されると、攻撃者はFreeScoutのサーバー上で任意のコードを実行できます。これにより、機密情報の窃取、システム設定の改ざん、さらにはサーバー全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、Webサーバーのルートディレクトリへのアクセス権限を取得し、悪意のあるスクリプトを配置することで、他のシステムへの攻撃の足がかりとすることも考えられます。この脆弱性は、FreeScoutの管理者が悪意のあるZIPファイルをアップロードできることを前提としており、認証された攻撃者による攻撃が想定されます。
この脆弱性は、2026年4月21日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。FreeScoutの管理者は、速やかにバージョンアップを実施し、脆弱性への対策を講じる必要があります。
Organizations using FreeScout for help desk and shared mailbox management are at risk, particularly those running vulnerable versions (1.0.0 through 1.8.214). Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromised administrator account could impact all users on the server.
• php: Examine web server access logs for requests to the module installation endpoint with unusual ZIP archive filenames or paths.
grep -i 'module_install.php' /var/log/apache2/access.log | grep -i '.zip'• php: Monitor file system activity for unexpected file creations or modifications in sensitive directories.
find /var/www/freescout -type f -mmin -60 -ls• generic web: Check for unusual files in the FreeScout installation directory, particularly those with unexpected extensions or names. • generic web: Review FreeScout logs for errors related to ZIP archive extraction or file writing.
disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
CVSS ベクトル
FreeScoutのバージョンを1.8.215以降にアップデートすることが最も効果的な対策です。もしアップデートが困難な場合は、ZIPファイルのアップロード機能を一時的に無効化するか、ファイルパスの検証を厳格化するなどの回避策を検討してください。WAF(Web Application Firewall)を導入し、悪意のあるZIPファイルのアップロードを検知・遮断することも有効です。また、FreeScoutのログを監視し、不審なファイルアクセスや実行を検知するルールを設定することも重要です。アップデート後、FreeScoutのバージョンが1.8.215以降であることを確認してください。
FreeScout をバージョン 1.8.215 以降にアップデートすることで、この脆弱性を軽減できます。このバージョンでは、ZIP ファイルを抽出する際にファイルパスを検証することで問題を修正し、ファイルシステムへの任意の書き込みを防止しています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-41193は、FreeScoutのモジュールインストール機能におけるリモートコード実行(RCE)脆弱性です。認証された管理者が悪意のあるZIPファイルをアップロードすることで、サーバーファイルシステムに任意にファイルを書き込める可能性があります。
はい、バージョン1.0.0から1.8.214までのFreeScoutが影響を受けます。攻撃者はサーバー上で任意のコードを実行し、機密情報の窃取やシステム改ざんを行う可能性があります。
FreeScoutのバージョンを1.8.215以降にアップデートしてください。アップデートが困難な場合は、一時的にZIPファイルのアップロード機能を無効化するか、ファイルパスの検証を厳格化するなどの回避策を検討してください。
現時点では公的なPoCは確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。
FreeScoutの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。