CVE-2026-40569 in freescout
요약
\~에 의해 VulDB • 2026. 05. 27.
FreeScout는 무료 자체 호스팅형 헬프 데스크 및 공유 메일박스입니다. 1.8.213 이전 버전의 FreeScout(`app/Http/Controllers/MailboxesController.php`의 468행에 있는 `connectionIncomingSave()` 및 398행에 있는 `connectionOutgoingSave()`) 메일박스 연결 설정 엔드포인트에는 질적 할당(Mass Assignment) 취약점이 존재합니다. 두 메서드는 필드 허용 목록(allowlisting) 없이 `$request->all()`을 `$mailbox->fill()`에 직접 전달하므로, 인증된 관리자는 `Mailbox` 모델의 `$fillable` 배열에 있는 32개 필드 중 임의의 필드를 덮어쓸 수 있습니다. 여기에는 연결 설정 폼에 속하지 않는 보안상 중요한 필드인 `auto_bcc`, `out_server`, `out_password`, `signature`, `auto_reply_enabled`, `auto_reply_message`도 포함됩니다. `connectionIncomingSave()`의 검증 로직은 완전히 주석 처리되어 있으며, `connectionOutgoingSave()`의 검증기는 SMTP 필드의 값 형식만 확인하고 추가 파라미터는 제거하지 않습니다. 인증된 관리자 사용자는 정당한 연결 설정 저장 요청에 숨겨진 파라미터(예: `[email protected]`)를 추가하여 이 취약점을 악용할 수 있습니다. `auto_bcc` 필드는 연결 설정 폼에 표시되지 않으며 일반 메일박스 설정 페이지에서만 나타나므로, 연결 설정을 검토하는 다른 관리자들에게 이 삽입은 보이지 않습니다. 일단 설정되면 영향받는 메일박스에서 발송되는 모든 외부 이메일이 `SendReplyToCustomer` 작업을 통해 공격자에게 자동으로 BCC됩니다. 동일한 메커니즘을 통해 공격자가 제어하는 서버로 외부 SMTP를 리디렉션하거나, 이메일 서명에 추적 픽셀이나 피싱 링크를 삽입하며, 공격자가 작성한 자동 응답을 활성화할 수 있습니다. 이는 단일 HTTP 요청만으로 가능합니다. 이는 한 관리자가 다른 관리자가 관리하는 메일박스를 조용히 감시할 수 있는 다중 관리자 환경에서 특히 위험하며, 별도의 취약점(예: XSS)을 통해 관리자 세션이 침해될 경우 공격자는 세션 만료 후에도 지속되는 이메일 유출을 얻을 수 있습니다. 버전 1.8.213에서 이 문제가 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.