Krytyczna luka w FreeScout umożliwiająca trwałe przejęcie konta przez nieautoryzowanych użytkowników

Luka w FreeScout umożliwia trwałe przejęcie konta przez nieautoryzowanych użytkowników. Aktualizuj do wersji 1.8.217, aby zabezpieczyć system.
CVE-2026-41902CVSS 9.1Web

Krytyczna luka w FreeScout umożliwiająca trwałe przejęcie konta przez nieautoryzowanych użytkowników

Luka w FreeScout umożliwia trwałe przejęcie konta przez nieautoryzowanych użytkowników. Aktualizuj do wersji 1.8.217, aby zabezpieczyć system.

CVSS
9.1 CRITICAL
EPSS
15.79%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

FreeScout do wersji 1.8.217 posiadał lukę w endpointzie /user-setup/{hash}, gdzie 60-znakowy hash zaproszenia nie wygasał, co pozwalało na nieautoryzowane, trwałe przejęcie konta nawet po długim czasie od wysłania zaproszenia. W przypadku kont administratorów luka umożliwiała uzyskanie pełnych uprawnień.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z FreeScout, umożliwiając atakującym trwały dostęp do kont użytkowników, w tym administratorów. Może to prowadzić do nieautoryzowanych zmian, wycieku danych oraz utraty kontroli nad infrastrukturą help desku.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie FreeScout do wersji 1.8.217 lub nowszej, w której luka została załatana. Dodatkowo warto przejrzeć i unieważnić istniejące zaproszenia, ograniczyć ekspozycję linków zaproszeń, monitorować logi pod kątem podejrzanej aktywności oraz wprowadzić politykę wygasania zaproszeń.

Źródła