CVE-2026-45294
ŚrednieCVSS 5.3Streszczenie
FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach przed 1.8.219 punkt końcowy resetowania hasła zwracał różne odpowiedzi w zależności od tego, czy podany adres e-mail należy do istniejącego konta użytkownika, co umożliwiało nieautoryzowanym atakującym enumerację ważnych adresów e-mail agentów pomocy technicznej.
Ocena ryzyka
Organizacje mogą być narażone na ataki związane z ujawnieniem adresów e-mail agentów, co może prowadzić do dalszych prób phishingowych lub innych form ataków. Umożliwienie atakującym identyfikacji ważnych kont zwiększa ryzyko naruszenia bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację FreeScout do wersji 1.8.219 lub nowszej, aby usunąć tę podatność. Dodatkowo warto rozważyć wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie liczby prób resetowania hasła.
Oryginalny opis (angielski, źródło NVD)
FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to 1.8.219, the password reset endpoint returns visually distinct responses depending on whether the submitted email address belongs to an existing user account, allowing unauthenticated attackers to enumerate valid helpdesk agent email addresses. This vulnerability is fixed in 1.8.219.

