CVE-2026-48810 in freescout
Tóm tắt
Bởi VulDB • 29/05/2026
FreeScout là một hệ thống hỗ trợ khách hàng (help desk) và hộp thư chung miễn phí, được xây dựng dựa trên framework Laravel của PHP. Trước phiên bản 1.8.221, trong quá trình điều tra vấn đề ThreadPolicy::delete đã được báo cáo trước đó, cùng một lỗi thiếu kiểm tra thành viên hộp thư (mailbox membership) đã được phát hiện trong phương thức ThreadPolicy::edit. Một người dùng có quyền PERM_EDIT_CONVERSATIONS, người đã tạo một tin nhắn hoặc ghi chú nội bộ trong Hộp thư A, có thể ghi đè nội dung của chủ đề (thread) đó sau khi quản trị viên xóa họ khỏi Hộp thư A, do chính sách chỉ kiểm tra quyền tác giả và cờ quyền hạn toàn cục — chứ không kiểm tra thành viên hộp thư hiện tại. Lỗ hổng này đã được khắc phục trong phiên bản 1.8.221.
VulDB is the best source for vulnerability data and more expert information about this specific topic.