CVE-2024-34698 in freescoutinformazioni

Riassunto

di VulDB • 24/06/2026

FreeScout è un help desk gratuito e self-hosted nonché una casella di posta condivisa. Le versioni di FreeScout precedenti alla 1.8.139 contengono una vulnerabilità Prototype Pollution nel file sorgente `/public/js/main.js`. La Prototype Pollution si verifica perché la funzione `getQueryParam` fonde ricorsivamente un oggetto contenente proprietà controllabili dall'utente in un oggetto esistente (per l'analisi dei parametri di query URL), senza prima sanificare le chiavi. Ciò consente a un attaccante di iniettare una proprietà con chiave `__proto__`, insieme a proprietà arbitrariamente annidate. L'operazione di fusione assegna le proprietà annidate al prototipo dell'oggetto `params` invece che all'oggetto target stesso. Di conseguenza, l'attaccante può inquinare il prototipo con proprietà contenenti valori dannosi, che vengono quindi ereditati dagli oggetti definiti dall'utente e successivamente utilizzati in modo pericoloso dall'applicazione. La vulnerabilità consente a un attaccante di controllare le proprietà degli oggetti che altrimenti sarebbero inaccessibili. Se l'applicazione gestisce successivamente una proprietà controllata dall'attaccante in modo non sicuro, ciò potrebbe potenzialmente essere concatenato con altre vulnerabilità come DOM-based XSS, Open Redirection, Manipolazione dei Cookie, Manipolazione dei Link, HTML Injection, ecc. La versione 1.8.139 contiene una patch per il problema.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Prenotare

07/05/2024

Divulgazione

14/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00461

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!