Katalog CVE

CVE-2026-40496

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, tokeny do pobierania załączników były generowane przy użyciu słabej i przewidywalnej formuły, co umożliwiało nieautoryzowanym atakującym fałszowanie ważnych tokenów i pobieranie prywatnych załączników bez uwierzytelnienia.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do poufnych danych, co może prowadzić do wycieku informacji i naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 1.8.213 lub nowszej, aby zabezpieczyć system przed możliwością fałszowania tokenów i nieautoryzowanym dostępem do załączników.

Oryginalny opis (angielski, źródło NVD)

FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.213, attachment download tokens are generated using a weak and predictable formula: `md5(APP_KEY + attachment_id + size)`. Since attachment_id is sequential and size can be brute-forced in a small range, an unauthenticated attacker can forge valid tokens and download any private attachment without credentials. Version 1.8.213 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS