CVE-2026-41902 in freescoutИнформация

Сводка

по VulDB • 22.05.2026

FreeScout — это бесплатная система поддержки и общий почтовый ящик, созданная на основе фреймворка Laravel для PHP. До версии 1.8.217 конечная точка /user-setup/{hash} принимает 60-символьный случайный invite_hash для установки пароля нового пользователя. Конечная точка не выполняет проверку срока действия — хеш остается действительным бессрочно до его использования. В сочетании с реалистичными сценариями утечки хешей (пересланные письма с приглашениями, HTTP-реферер на внешние CDN на странице настройки, раскрытие журналов на стороне сервера, оставленные без внимания письма с приглашениями в общих почтовых ящиках) это позволяет осуществлять постоянный захват учетной записи без аутентификации через месяцы или годы после отправки приглашения. Если утекающее приглашение было отправлено администратору, захват учетной записи предоставляет доступ администратора. Эта проблема исправлена в версии 1.8.217.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

22.04.2026

Раскрытие

07.05.2026

Модерация

принято

Вход

VDB-361930

CPE

готов

CWE

CWE-613 (Подтверждённый)

CVSS

9.1 (CNA)

EPSS

0.00039

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41902
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41902
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41902/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!