CVE-2026-48810 in freescout
要約
〜によって VulDB • 2026年05月29日
FreeScoutは、PHPのLaravelフレームワークを使用して構築された無料のヘルプデスクおよび共有インボックスです。バージョン1.8.221より前では、以前報告されたThreadPolicy::deleteの問題を調査している際、兄弟関係にあるThreadPolicy::editメソッドでも同じくメールボックスメンバーシップのチェックが欠落していることが発見されました。PERM_EDIT_CONVERSATIONS権限を持つユーザーがメールボックスAでメッセージまたは内部ノートを作成した場合、管理者がそのユーザーをメールボックスAから削除した後でも、そのスレッドの本文を書き換えることができます。これは、ポリシーが現在のメールボックスメンバーシップではなく、作成者権限とグローバルな権限フラグのみをチェックするためです。この脆弱性は1.8.221で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.