CVE-2024-34698 in freescoutИнформация

Сводка

по VulDB • 25.06.2026

FreeScout — это бесплатная система поддержки клиентов и общая почтовая коробка с возможностью самостоятельного размещения (self-hosted). Версии FreeScout старше 1.8.139 содержат уязвимость Prototype Pollution в исходном файле `/public/js/main.js`. Уязвимость возникает из-за того, что функция `getQueryParam` рекурсивно объединяет объект, содержащий свойства, контролируемые пользователем (например, при разборе параметров запроса URL), с существующим объектом без предварительной очистки ключей. Это позволяет злоумышленнику внедрить свойство с ключом `__proto__`, а также произвольно вложенные свойства. Операция объединения присваивает вложенные свойства прототипу объекта `params` вместо самого целевого объекта. В результате злоумышленник может загрязнить прототип свойствами, содержащими вредоносные значения, которые затем наследуются объектами, определенными пользователем, и впоследствии опасным образом используются приложением. Уязвимость позволяет злоумышленнику контролировать свойства объектов, доступ к которым в противном случае был бы невозможен. Если приложение впоследствии небезопасно обрабатывает свойство, контролируемое злоумышленником, это может быть использовано совместно с другими уязвимостями, такими как DOM-based XSS, Open Redirection (открытое перенаправление), манипуляция файлами Cookie, манипуляция ссылками, внедрение HTML и т.д. Версия 1.8.139 содержит исправление для данной проблемы.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Резервировать

07.05.2024

Раскрытие

14.05.2024

Модерация

принято

Вход

VDB-264004

EPSS

0.00461

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!