Platform
php
Component
freescout-help-desk
Opgelost in
1.8.214
CVE-2026-40497 describes a Cross-Site Request Forgery (CSRF) vulnerability discovered in FreeScout, a free self-hosted help desk and shared mailbox system. This flaw allows an attacker to inject malicious CSS code into mailbox settings, potentially leading to Cross-Site Scripting (XSS) attacks. The vulnerability impacts versions 1.0.0 through 1.8.212, and a fix is available in version 1.8.213.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan leiden tot het injecteren van schadelijke inline CSS-stijlen in de mailbox signature. Omdat FreeScout's Content Security Policy (CSP) inline stijlen toestaat, kunnen deze geïnjecteerde stijlen worden gebruikt om de weergave van de applicatie te manipuleren, gebruikers te misleiden of zelfs potentieel schadelijke acties uit te voeren. De impact is verhoogd doordat de mailbox signature field niet correct wordt ontsmet, waardoor de <style> tag niet wordt verwijderd. Dit maakt het mogelijk om CSS-attributen te injecteren die de gebruikerservaring kunnen beïnvloeden en mogelijk toegang tot gevoelige informatie kunnen verkrijgen.
Deze kwetsbaarheid is openbaar gemaakt op 2026-04-21. Er zijn momenteel geen bekende actieve exploits in de wildernis, maar de aanwezigheid van een CSRF-kwetsbaarheid in een helpdesk applicatie maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven.
Organizations using FreeScout for help desk and shared mailbox management are at risk, particularly those running versions 1.0.0 through 1.8.212. Shared hosting environments where multiple users share a FreeScout instance are especially vulnerable, as an attacker could potentially compromise the settings of one mailbox and impact other users.
• php: Examine FreeScout logs for POST requests to /mailbox/settings/{id} containing <style> tags with unusual or obfuscated content. Use grep to search for patterns like style=javascript: or style=expression.
grep 'style=javascript:' /var/log/freescout/access.log• generic web: Monitor HTTP POST requests to /mailbox/settings/{id} for suspicious CSS content in the request body. Use a WAF or intrusion detection system to flag such requests.
• generic web: Check mailbox signatures for unusual CSS patterns. Inspect the HTML source code of conversation views for injected <style> tags.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van FreeScout naar versie 1.8.213 of hoger, waarin de kwetsbaarheid is verholpen. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Content Security Policy (CSP) zijn die het gebruik van inline stijlen beperkt of verbiedt. Daarnaast kan het configureren van strikte mailbox permissies helpen om de impact van een succesvolle CSRF-aanval te beperken. Controleer na de upgrade de mailbox signature settings om te bevestigen dat er geen ongeautoriseerde stijlen zijn geïnjecteerd.
Werk FreeScout bij naar versie 1.8.213 of hoger. Deze versie bevat een correctie die de `<style>` tags correct verwijdert uit de mailbox handtekening, waardoor CSS-injectie en mogelijke CSRF token exfiltratie wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40497 is a Cross-Site Request Forgery (CSRF) vulnerability in FreeScout versions 1.0.0 through 1.8.212, allowing attackers to inject malicious CSS and potentially execute XSS.
Yes, if you are running FreeScout versions 1.0.0 through 1.8.212, you are affected by this vulnerability.
Upgrade FreeScout to version 1.8.213 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
No active exploitation has been confirmed, but the vulnerability's nature suggests a potential for exploitation.
Refer to the FreeScout security advisory for details: [https://freescout.com/security/](https://freescout.com/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.