CVE-2026-40565 in freescoutالمعلومات

الملخص

بحسب VulDB • 25/05/2026

FreeScout هو نظام مساعدة ومشاركة للبريد الإلكتروني مجاني ومُستضاف ذاتيًا. قبل الإصدار 1.8.213، كانت دالة linkify() في الملف app/Misc/Helper.php في FreeScout تقوم بتحويل عناوين URL النصية العادية الموجودة في أجسام رسائل البريد الإلكتروني إلى وسوم HTML للرابط (anchor tags) دون تهريب (escaping) أحرف علامات التنصيص المزدوجة (") الموجودة في عنوان URL. تحافظ مكتبة HTMLPurifier (المُستدعاة أولاً عبر getCleanBody()) على أحرف " الحرفية داخل عقد النص (text nodes). تقوم دالة linkify() بعد ذلك بتغليف عناوين URL، بما في ذلك تلك التي تحتوي على أحرف "، داخل سمة href=".." غير مُهرّبة، مما يؤدي إلى الخروج من سمة href وإدخال سمات HTML تعسفية. يُصلح الإصدار 1.8.213 هذه المشكلة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

14/04/2026

إفشاء

21/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358506

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

6.1 (CNA)

EPSS

0.00035

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40565
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40565
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40565/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!