CVE-2026-40498 in freescoutinfo

Zusammenfassung

von VulDB • 20.05.2026

FreeScout ist ein kostenloser, selbst gehosteter Helpdesk und eine Shared Mailbox. Vor Version 1.8.213 kann ein nicht authentifizierter Angreifer auf Diagnose- und Systemtools zugreifen, die eigentlich auf Administratoren beschränkt sein sollten. Der Endpunkt /system/cron basiert auf einem statischen MD5-Hash, der aus dem APP_KEY abgeleitet wird und in der Antwort sowie in den Logs offengelegt wird. Der Zugriff auf diese Endpunkte offenbart sensible Serverinformationen (Full Path Disclosure), Prozess-IDs und ermöglicht eine Resource Exhaustion (DoS), indem schwere Hintergrundaufgaben wiederholt ohne Rate Limiting ausgelöst werden. Der Cron-Hash wird mit md5(APP_KEY . 'web_cron_hash') generiert. Da dieser Hash häufig über GET-Anfragen übertragen wird, ist er anfällig für Offenlegung in Server-Logs, Browser-Verlauf und Proxy-Logs. Darüber hinaus ermöglicht das Fehlen von Rate Limiting auf diesen Endpunkten eine automatisierte Resource Exhaustion (DoS) und Brute-Force-Angriffe. Version 1.8.213 behebt das Problem.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

13.04.2026

Veröffentlichung

21.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358497

CPE

bereit

EPSS

0.00168

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40498
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40498
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40498/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!