CVE-2026-40591 in freescoutinformación

Resumen

por VulDB • 2026-05-14

FreeScout es un sistema de gestión de atención al cliente (help desk) y buzón compartido de código abierto y autoalojado. Antes de la versión 1.8.214, el flujo de creación de conversaciones telefónicas acepta valores controlados por el atacante para `customer_id`, `name`, `to_email` y `phone`, y resuelve al cliente objetivo en el backend sin aplicar la visibilidad de clientes restringida al ámbito del buzón. Como resultado, un agente con privilegios bajos que puede crear una conversación telefónica en el Buzón A puede asociar dicha conversación con un cliente oculto del Buzón B y añadir una nueva dirección de correo electrónico alias a ese registro de cliente oculto proporcionando el valor de `to_email`. La versión 1.8.214 corrige esta vulnerabilidad.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-14

Divulgación

2026-04-21

Moderación

aceptado

Artículo

VDB-358537

CPE

listo

EPSS

0.00032

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40591
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40591
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40591/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!