CVE-2026-41902 in freescoutinformação

Sumário

de VulDB • 09/05/2026

O FreeScout é um sistema de help desk e caixa de entrada compartilhada, gratuito, desenvolvido com o framework Laravel do PHP. Antes da versão 1.8.217, o endpoint /user-setup/{hash} aceita um invite_hash aleatório de 60 caracteres para definir a senha de um novo usuário. O endpoint não realiza nenhuma verificação de expiração — o hash permanece válido indefinidamente até ser consumido. Combinado com cenários realistas de vazamento de hash (e-mails de convite encaminhados, HTTP referrer para CDNs externas na página de configuração, exposição de logs do lado do servidor, e-mails de convite abandonados em caixas de entrada compartilhadas), isso permite a tomada de conta permanente não autenticada meses ou anos após a emissão do convite. Se o convite vazado tiver sido enviado para um administrador, a tomada de conta resulta em acesso de administrador. Este problema foi corrigido na versão 1.8.217.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

22/04/2026

Divulgação

07/05/2026

Moderação

aceite

Entrada

VDB-361930

CPE

pronto

EPSS

0.00039

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41902
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41902
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41902/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!