CVE-2026-40591 in freescoutИнформация

Сводка

по VulDB • 13.05.2026

FreeScout — это бесплатная система обслуживания клиентов с функцией общей почтовой коробки, развертываемая на собственных серверах. До версии 1.8.214 процесс создания телефонного разговора принимает контролируемые злоумышленником значения параметров `customer_id`, `name`, `to_email` и `phone` и выполняет поиск целевого клиента на стороне сервера без соблюдения ограничений видимости клиентов, установленных на уровне почтовой коробки. В результате агент с низкими привилегиями, имеющий право создавать телефонные разговоры в Почтовой коробке A, может привязать новый телефонный разговор Почтовой коробки A к скрытому клиенту из Почтовой коробки B и добавить новый адрес электронной почты в качестве алиаса к записи этого скрытого клиента, указав значение `to_email`. Уязвимость исправлена в версии 1.8.214.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

14.04.2026

Раскрытие

21.04.2026

Модерация

принято

Вход

VDB-358537

CPE

готов

CWE

CWE-639 (Подтверждённый)

CVSS

7.1 (CNA)

EPSS

0.00032

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40591
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40591
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40591/

◂ Предыдущий Обзор Далее ▸

Do you know our Splunk app?

Download it now for free!