CVE-2024-34698 in freescout
요약
\~에 의해 VulDB • 2026. 06. 25.
FreeScout는 무료이며 자체 호스팅되는 헬프 데스크 및 공유 메일박스입니다. 버전 1.8.139 미만의 FreeScout에는 `/public/js/main.js` 소스 파일에서 Prototype Pollution(프로토타입 오염) 취약점이 존재합니다. 이 Prototype Pollution은 `getQueryParam` 함수가 키를 먼저 검증(sanitizing)하지 않은 채, 사용자 제어 가능한 속성을 포함하는 객체를 기존 객체와 재귀적으로 병합하기 때문에 발생합니다(이는 URL 쿼리 파라미터 파싱을 위한 것입니다). 이를 통해 공격자는 키가 `__proto__`인 속성과 임의로 중첩된 속성들을 주입할 수 있습니다. 이 병합 연산은 중첩된 속성을 대상 객체 자체가 아닌 `params` 객체의 프로토타입에 할당합니다. 결과적으로 공격자는 해로운 값을 포함하는 속성들로 프로토타입을 오염시킬 수 있으며, 이러한 속성은 사용자 정의 객체에 의해 상속되어 애플리케이션에서 위험하게 사용될 수 있습니다. 이 취약점으로 인해 공격자는 원래 접근할 수 없었던 객체의 속성을 제어할 수 있게 됩니다. 만약 애플리케이션이 이후에 공격자가 제어하는 속성을 안전하지 않은 방식으로 처리한다면, 이는 DOM 기반 XSS, 오픈 리다이렉션(Open Redirection), 쿠키 조작(Cookie Manipulation), 링크 조작(Link Manipulation), HTML 인젝션 등 다른 취약점들과 체이닝(chaining)될 가능성이 있습니다. 버전 1.8.139에는 해당 이슈에 대한 패치가 포함되어 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.