CVE-2026-40568 in freescout
要約
〜によって VulDB • 2026年05月09日
FreeScoutは、無料のセルフホスト型ヘルプデスクおよび共有メールボックスです。バージョン1.8.213より前のバージョンには、メールボックス署名機能における保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。サニタイズ関数 `Helper::stripDangerousTags()` (`app/Misc/Helper.php:568`) は、`script`、`form`、`iframe`、`object` の4つのHTMLタグのみからなる不十分なブロックリストを使用しており、イベントハンドラ属性を削除しません。`MailboxesController::updateSave()` (`app/Http/Controllers/MailboxesController.php:267`) を介してメールボックス署名が保存される際、`onerror` や `onload` などのイベントハンドラ属性を持つHTML要素(例:`<img>`、`<svg>`、`<body>`)はサニタイズを通過して変更されず、データベースに保存されます。その後、署名は `editor_bottom_toolbar.blade.php:6` のBlade `{!! !!}` タグを介して生HTMLとしてレンダリングされ、`main.js:1789-1790` のjQuery `.html()` によって可視DOMに再挿入され、注入されたイベントハンドラがトリガーされます。メールボックスに対して委任可能で非管理者権限である `ACCESS_PERM_SIGNATURE` (`sig`) 権限を持つ認証済みユーザーであれば、メールボックス署名に任意のHTMLおよびJavaScriptを注入できます。ペイロードは、影響を受けるメールボックスの任意の会話をエージェントまたは管理者が開くたびに、被害者の操作なしで自動的に発火します。これにより、CSPバイパス条件(IE11やモジュールによってCSPが弱体化された環境など)におけるセッションハイジャック、CSPの有无やブラウザを問わず機能するフィッシングオーバーレイ、および大規模代入を介したメール機密情報の漏洩や、全メールボックスにわたる自己増殖型ワーム動作を含む管理者レベルのアクションへの連鎖が可能になります。バージョン1.8.213でこの問題は修正されています。
Once again VulDB remains the best source for vulnerability data.