CVE-2026-41902: Уразливість у FreeScout дозволяє постійне захоплення облікового запису
Критична уразливість FreeScout дозволяє необмежене захоплення облікових записів через незакінчені хеші запрошень. Оновіть до версії 1.8.217 для захисту.
- CVSS
- 9.1 CRITICAL
- EPSS
- 15.79%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У FreeScout до версії 1.8.217 існувала критична уразливість у механізмі встановлення пароля через endpoint /user-setup/{hash}, де хеш запрошення не мав терміну дії. Це дозволяло зловмисникам отримати необмежений доступ до облікових записів, включно з адміністративними, навіть через місяці або роки після відправлення запрошення.
Бізнес-вплив
Для ІТ-операторів та власників інфраструктури ця уразливість означає високий ризик несанкціонованого доступу до системи, що може призвести до компрометації даних та контролю над адміністративними функціями. Відсутність терміну дії хешу запрошення ускладнює виявлення та запобігання атакам, підвищуючи загрозу довготривалого впливу на безпеку.
Рекомендовані дії адміністратора
Рекомендується негайно оновити FreeScout до версії 1.8.217 або новішої, де ця уразливість виправлена. Також слід переглянути політику обробки запрошень, обмежити термін дії хешів, перевірити журнали на предмет підозрілої активності та мінімізувати розповсюдження запрошень через небезпечні канали. Важливо підвищити обізнаність користувачів щодо безпечного поводження з листами-запрошеннями.