Katalog CVE

CVE-2026-48810

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. Przed wersją 1.8.221, w metodzie ThreadPolicy::edit występował brak weryfikacji członkostwa w skrzynce, co pozwalało użytkownikowi z uprawnieniem PERM_EDIT_CONVERSATIONS na modyfikację treści wątku po usunięciu go z Mailbox A przez administratora.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane modyfikacje treści wątków, co może prowadzić do dezinformacji i utraty zaufania do systemu. Potencjalne naruszenie integralności danych może wpłynąć na procesy biznesowe.

Rekomendacja

Zaleca się aktualizację do wersji 1.8.221 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników w systemie.

Oryginalny opis (angielski, źródło NVD)

FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to 1.8.221, while investigating the ThreadPolicy::delete issue reported previously, the same missing mailbox membership check was found in the sibling ThreadPolicy::edit method. A user with the PERM_EDIT_CONVERSATIONS permission who created a message or internal note in Mailbox A can rewrite that thread's body after an administrator removes them from Mailbox A, because the policy checks only authorship and a global permission flag — not current mailbox membership. This vulnerability is fixed in 1.8.221.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS