CVE-2024-34698 in freescout정보

요약

\~에 의해 VulDB • 2026. 06. 25.

FreeScout는 무료이며 자체 호스팅되는 헬프 데스크 및 공유 메일박스입니다. 버전 1.8.139 미만의 FreeScout에는 `/public/js/main.js` 소스 파일에서 Prototype Pollution(프로토타입 오염) 취약점이 존재합니다. 이 Prototype Pollution은 `getQueryParam` 함수가 키를 먼저 검증(sanitizing)하지 않은 채, 사용자 제어 가능한 속성을 포함하는 객체를 기존 객체와 재귀적으로 병합하기 때문에 발생합니다(이는 URL 쿼리 파라미터 파싱을 위한 것입니다). 이를 통해 공격자는 키가 `__proto__`인 속성과 임의로 중첩된 속성들을 주입할 수 있습니다. 이 병합 연산은 중첩된 속성을 대상 객체 자체가 아닌 `params` 객체의 프로토타입에 할당합니다. 결과적으로 공격자는 해로운 값을 포함하는 속성들로 프로토타입을 오염시킬 수 있으며, 이러한 속성은 사용자 정의 객체에 의해 상속되어 애플리케이션에서 위험하게 사용될 수 있습니다. 이 취약점으로 인해 공격자는 원래 접근할 수 없었던 객체의 속성을 제어할 수 있게 됩니다. 만약 애플리케이션이 이후에 공격자가 제어하는 속성을 안전하지 않은 방식으로 처리한다면, 이는 DOM 기반 XSS, 오픈 리다이렉션(Open Redirection), 쿠키 조작(Cookie Manipulation), 링크 조작(Link Manipulation), HTML 인젝션 등 다른 취약점들과 체이닝(chaining)될 가능성이 있습니다. 버전 1.8.139에는 해당 이슈에 대한 패치가 포함되어 있습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!