CVE-2026-40591 in freescoutinformation

Résumé

par VulDB • 03/06/2026

FreeScout est un logiciel de help desk et de messagerie partagée auto-hébergé et gratuit. Avant la version 1.8.214, le flux de création d'une conversation téléphonique accepte des valeurs contrôlées par l'attaquant pour les paramètres `customer_id`, `name`, `to_email` et `phone`, et résout le client cible dans le backend sans appliquer de restrictions de visibilité des clients au niveau de la boîte aux lettres. Par conséquent, un agent disposant de privilèges faibles, capable de créer une conversation téléphonique dans la boîte aux lettres A, peut associer cette nouvelle conversation à un client masqué appartenant à la boîte aux lettres B et ajouter une nouvelle adresse email alias à l'enregistrement de ce client masqué en fournissant la valeur `to_email`. La version 1.8.214 corrige cette vulnérabilité.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

14/04/2026

Divulgation

21/04/2026

Modérer

accepté

Entrée

VDB-358537

CPE

prêt

EPSS

0.00032

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40591
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40591
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40591/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!