Platform
laravel
Component
laravel
Opgelost in
1.8.210
1.8.210
FreeScout, een gratis helpdesk en gedeelde inbox gebouwd met Laravel, vertoont een Stored Cross-Site Scripting (XSS) kwetsbaarheid. Deze kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts uit te voeren in de browser van andere gebruikers. Versies 1.8.208 en lager zijn kwetsbaar. De kwetsbaarheid is verholpen in versie 1.8.209.
De XSS kwetsbaarheid in FreeScout maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige HTML en JavaScript code in te voegen in e-mail notificaties. Dit gebeurt doordat e-mailinhoud ongesaneerd in de database wordt opgeslagen en vervolgens ongeëscaleerd wordt weergegeven in uitgaande e-mail notificaties. Een aanvaller kan simpelweg een e-mail sturen om de kwetsbaarheid te exploiteren. Wanneer deze e-mail wordt geopend door een agent of beheerder, kan de aanvaller potentieel gevoelige informatie stelen, gebruikersaccounts overnemen of de applicatie manipuleren. De impact is aanzienlijk, aangezien het een universele HTML injectie mogelijk maakt.
Deze kwetsbaarheid is openbaar bekend en de beschrijving van de exploitatie is relatief eenvoudig. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de lage drempel voor exploitatie maakt het een aantrekkelijk doelwit. De kwetsbaarheid is gepubliceerd op 2026-03-19. Er zijn geen publieke Proof-of-Concept exploits bekend op het moment van schrijven.
Organizations using FreeScout as a help desk or shared inbox solution are at risk, particularly those running versions 1.8.208 or earlier. Shared hosting environments where FreeScout is installed are especially vulnerable, as a compromise of one tenant could potentially impact others. Any organization handling sensitive customer data through FreeScout should prioritize patching.
• linux / server:
journalctl -u freescout | grep -i "html injection"• generic web:
curl -I https://your-freescout-instance.com/emails/ | grep -i "content-type: text/html"• wordpress / composer / npm: (Not applicable as FreeScout is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable, vulnerability is in the application layer) • windows / supply-chain: (Not applicable, FreeScout is typically deployed on Linux servers)
disclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar FreeScout versie 1.8.209 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan het handmatig saniteren van e-mailinhoud voor opslag in de database een tijdelijke workaround bieden. Dit kan worden gedaan door HTML-tags te verwijderen of te escapen. Het implementeren van een Web Application Firewall (WAF) met regels om XSS-pogingen te detecteren en blokkeren kan ook helpen. Controleer de FreeScout logs op verdachte patronen die wijzen op pogingen tot XSS-exploitatie.
Actualice FreeScout a la versión 1.8.209 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado al escapar correctamente el contenido de los correos electrónicos en las plantillas de notificación. La actualización evitará la ejecución de código JavaScript malicioso en los clientes de correo electrónico de los agentes y administradores.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32754 is a critical Stored Cross-Site Scripting (XSS) vulnerability in FreeScout versions 1.8.208 and earlier. It allows attackers to inject malicious HTML into email notifications.
Yes, if you are using FreeScout versions 1.8.208 or earlier, you are vulnerable to this XSS attack.
Upgrade FreeScout to version 1.8.209 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
No active exploitation campaigns have been reported, but the vulnerability's ease of exploitation suggests it may be targeted soon.
Refer to the FreeScout security advisory on their official website or GitHub repository for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.