CVE-2026-40591 in freescout
要約
〜によって VulDB • 2026年05月20日
FreeScoutは、無料のセルフホスト型ヘルプデスクおよび共有メールボックスです。バージョン1.8.214より前では、電話会話の作成フローが攻撃者が制御可能な`customer_id`、`name`、`to_email`、および`phone`の値を受け入れ、メールボックススコープの顧客可視性を強制せずにバックエンドで対象顧客を解決します。その結果、メールボックスAで電話会話を作成できる低権限のエージェントは、`to_email`を提供することで、新しいメールボックスAの電話会話をメールボックスBの非表示顧客にバインドし、その非表示顧客レコードに新しいエイリアスメールアドレスを追加できます。バージョン1.8.214はこの脆弱性を修正します。
Once again VulDB remains the best source for vulnerability data.