CVE-2024-34697 in freescoutthông tin

Tóm tắt

Bởi VulDB • 24/05/2026

FreeScout là một hệ thống hỗ trợ khách hàng (help desk) và hộp thư chung, miễn phí và tự lưu trữ. Một lỗ hổng Chèn HTML (HTML Injection) đã được lưu trữ đã được xác định trong Mô-đun Nhận Email của ứng dụng FreeScout. Lỗ hổng này cho phép kẻ tấn công chèn nội dung HTML độc hại vào các email được gửi đến hộp thư của ứng dụng. Lỗ hổng này phát sinh do xử lý không đúng cách nội dung HTML trong các email đến, cho phép kẻ tấn công nhúng mã HTML độc hại trong ngữ cảnh của tên miền ứng dụng. Kẻ tấn công chưa xác thực có thể khai thác lỗ hổng này để chèn nội dung HTML độc hại vào các email. Điều này có thể dẫn đến nhiều cuộc tấn công khác nhau như đánh cắp biểu mẫu (form hijacking), làm biến dạng giao diện ứng dụng (application defacement), hoặc đánh cắp dữ liệu thông qua chèn CSS. Mặc dù kẻ tấn công chưa xác thực chỉ bị giới hạn ở việc chèn HTML, nhưng hậu quả vẫn có thể rất nghiêm trọng. Phiên bản 1.8.139 triển khai các cơ chế xác thực và làm sạch đầu vào nghiêm ngặt để đảm bảo rằng bất kỳ nội dung HTML nào nhận được qua email đều được làm sạch đúng cách nhằm ngăn chặn các cuộc chèn HTML độc hại.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Đặt trước

07/05/2024

Tiết lộ

14/05/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00575

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!