FreeScout é um help desk e caixa de entrada compartilhada gratuito construído com o framework PHP Laravel. Versões 1.8.208 e anteriores são vulneráveis a Cross-Site Scripting (XSS) armazenado através dos modelos de notificação por e-mail do FreeScout. Os corpos dos e-mails recebidos são armazenados no banco de dados sem sanitização e renderizados sem escape em notificações de e-mail de saída usando a sintaxe de saída raw do Blade {!! $thread->body !!}. Um atacante não autenticado pode explorar esta vulnerabilidade simplesmente enviando um e-mail, e quando aberto por um agente ou administrador inscrito, permitindo a injeção de HTML universal (phishing, rastreamento) e, em clientes de e-mail vulneráveis, a execução de JavaScript (roubo de sessão, roubo de credenciais, tomada de conta) afetando todos os destinatários simultaneamente. Este problema foi corrigido na versão 1.8.209.

A vulnerabilidade XSS armazenado no FreeScout permite que um atacante execute scripts maliciosos no navegador de qualquer usuário que visualize uma notificação de email comprometida. Um atacante pode explorar essa falha enviando um email especialmente elaborado contendo código JavaScript. Quando um agente ou administrador do FreeScout abre esse email, o script é executado, permitindo ao atacante roubar cookies de sessão, redirecionar usuários para sites maliciosos ou realizar outras ações maliciosas em nome do usuário. O impacto é severo, pois a injeção de código ocorre sem a necessidade de autenticação, tornando a exploração acessível a qualquer atacante.

Organizations using FreeScout as a help desk or shared inbox solution are at risk, particularly those running versions 1.8.208 or earlier. Shared hosting environments where FreeScout is installed are especially vulnerable, as a compromise of one tenant could potentially impact others. Any organization handling sensitive customer data through FreeScout should prioritize patching.

• linux / server:

journalctl -u freescout | grep -i "html injection"

• generic web:

curl -I https://your-freescout-instance.com/emails/ | grep -i "content-type: text/html"

• wordpress / composer / npm: (Not applicable as FreeScout is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable, vulnerability is in the application layer) • windows / supply-chain: (Not applicable, FreeScout is typically deployed on Linux servers)

1. 2026-03-19Disclosure

   disclosure

1. Reservado2026-03-13
2. Publicada2026-03-19
3. Modificada2026-03-23
4. EPSS atualizado2026-03-27

A mitigação primária para esta vulnerabilidade é atualizar o FreeScout para a versão 1.8.209 ou superior, que corrige a falha de sanitização. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosa de todos os dados de entrada de email no lado do servidor. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a mitigar o risco. Monitore os logs do FreeScout em busca de padrões suspeitos de injeção de código.