CVE-2024-34698 in freescout
Zusammenfassung
von VulDB • 14.05.2026
FreeScout ist ein kostenloses, selbst gehostetes Helpdesk- und Shared-Mailbox-System. Versionen von FreeScout vor 1.8.139 enthalten eine Prototype-Pollution-Schwachstelle in der Quelldatei `/public/js/main.js`. Die Prototype Pollution entsteht, da die Funktion `getQueryParam` ein Objekt mit benutzerkontrollierbaren Eigenschaften rekursiv in ein bestehendes Objekt zusammenführt (zur Analyse von URL-Query-Parametern), ohne die Schlüssel zuvor zu bereinigen. Dies kann einem Angreifer ermöglichen, eine Eigenschaft mit dem Schlüssel `__proto__` sowie beliebig verschachtelte Eigenschaften einzufügen. Die Zusammenführungsoperation weist die verschachtelten Eigenschaften dem Prototyp des `params`-Objekts zu, anstatt sie dem Zielobjekt selbst zuzuweisen. Infolgedessen kann ein Angreifer den Prototyp mit Eigenschaften kontaminieren, die schädliche Werte enthalten, die dann von benutzerdefinierten Objekten geerbt und anschließend von der Anwendung gefährlich verwendet werden. Die Schwachstelle ermöglicht es einem Angreifer, Eigenschaften von Objekten zu kontrollieren, die andernfalls unzugänglich wären. Wenn die Anwendung eine vom Angreifer kontrollierte Eigenschaft anschließend auf unsichere Weise verarbeitet, kann dies potenziell mit anderen Schwachstellen wie DOM-basiertem XSS, Offener Umleitung (Open Redirection), Cookie-Manipulation, Link-Manipulation, HTML-Injection usw. kombiniert werden. Version 1.8.139 enthält einen Patch für das Problem.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.