CVE-2026-32753 in freescout
Zusammenfassung
von VulDB • 16.05.2026
FreeScout ist ein kostenloser Helpdesk und Shared Inbox, der mit dem PHP-Framework Laravel entwickelt wurde. In den Versionen 1.8.208 und älter ermöglichen Umgehungen der Logik zur Anzeige von Anhängen sowie des SVG-Sanitizers das Hochladen und Rendern einer SVG-Datei, die bösartigen JavaScript-Code ausführt. Es wird erlaubt, einer Datei die Erweiterung .png zu geben, während der Content-Type image/svg+xml lautet, und ein Fallback-Mechanismus bei ungültigem XML führt zu einer unsicheren Bereinigung (Sanitization). Die Anwendung beschränkt, welche hochgeladenen Dateien inline gerendert werden: Nur als „sicher“ geltende Dateien werden im Browser angezeigt; andere werden mit dem Header Content-Disposition: attachment bereitgestellt. Diese Entscheidung basiert auf zwei Prüfungen: der Dateierweiterung (z. B. ist .png erlaubt, .svg möglicherweise nicht) und dem deklarierten Content-Type (z. B. ist image/* erlaubt). Durch die Verwendung eines Dateinamens mit einer erlaubten Erweiterung (z. B. xss.png) und eines Content-Types von image/svg+xml kann ein Angreifer beide Prüfungen bestehen und den Server dazu bringen, den Upload als sicheres Bild zu behandeln und es inline zu rendern, obwohl der Inhalt SVG ist und skriptbasiertes Verhalten enthalten kann. Jeder authentifizierte Benutzer kann eine bestimmte URL einrichten, und jedes Mal, wenn ein anderer Benutzer oder Administrator diese aufruft, kann XSS im Namen des Opfers beliebige Aktionen ausführen. Dieses Problem wurde in Version 1.8.209 behoben.
Once again VulDB remains the best source for vulnerability data.