製品・ソフトウェアに関する情報
Vulnerability Search
FreeScoutにおけるクロスサイトスクリプティングの脆弱性
Title FreeScoutにおけるクロスサイトスクリプティングの脆弱性
Summary

FreeScoutは無料のセルフホスト型ヘルプデスクおよび共有メールボックスのソフトウェアです。バージョン1.8.213以前のFreeScoutでは、`Helper::stripDangerousTags()`関数は`script`、`form`、`iframe`、`object`タグを削除しますが、`style`タグは削除しません。メールボックスの署名フィールドはPOST /mailbox/settings/{id}を通じて保存され、その後会話ビューで`{!! $conversation-getSignatureProcessed([], true) !!}`を用いてエスケープされずにレンダリングされます。コンテンツセキュリティポリシー(CSP)は`style-src * 'self' 'unsafe-inline'`を許可しているため、注入されたインラインスタイルが自由に実行されます。メールボックス設定にアクセス可能な攻撃者(管理者またはメールボックス権限を持つエージェント)は、CSS属性セレクターを注入して、そのメールボックスの会話を閲覧した任意のエージェントや管理者のCSRFトークンを漏洩させることができます。攻撃者はCSRFトークンを使用して、被害者として任意の状態変更アクション(管理者アカウントの作成、メールアドレスやパスワードの変更など)を実行でき、エージェントから管理者への権限昇格を引き起こします。これはGHSA-jqjf-f566-485jの不完全な修正の結果です。このアドバイザリではメールボックス署名を介したXSSが報告され、そのため署名保存前に`Helper::stripDangerousTags()`によるフィルタリングが適用されました。しかし、`stripDangerousTags()`は`script`、`form`、`iframe`、`object`タグのみを削除し、`style`タグは削除しないため、CSS注入が依然として可能です。バージョン1.8.213ではこの問題を修正した更新版が含まれています。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 21, 2026, midnight
Registration Date April 27, 2026, 11:20 a.m.
Last Update April 27, 2026, 11:20 a.m.
CVSS3.0 : 重要
Score 8.1
Vector CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
Affected System
FreeScout
FreeScout 1.8.213 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 11:20 a.m.
NVD Vulnerability Information
CVE-2026-40497
Summary

FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.213, FreeScout's `Helper::stripDangerousTags()` removes `<script>`, `<form>`, `<iframe>`, `<object>` but does NOT strip `<style>` tags. The mailbox signature field is saved via POST /mailbox/settings/{id} and later rendered unescaped via `{!! $conversation->getSignatureProcessed([], true) !!}` in conversation views. CSP allows `style-src * 'self' 'unsafe-inline'`, so injected inline styles execute freely. An attacker with access to mailbox settings (admin or agent with mailbox permission) can inject CSS attribute selectors to exfiltrate the CSRF token of any agent/admin who views a conversation in that mailbox. With the CSRF token, the attacker can perform any state-changing action as the victim (create admin accounts, change email/password, etc.) — privilege escalation from agent to admin. This is the result of an incomplete fix of GHSA-jqjf-f566-485j. That advisory reported XSS via mailbox signature. The fix applied `Helper::stripDangerousTags()` to the signature before saving. However, `stripDangerousTags()` only removes `script`, `form`, `iframe`, and `object` tags — it does NOT strip `<style>` tags, leaving CSS injection possible. Version 1.8.213 contains an updated fix.

Publication Date April 21, 2026, 12:16 p.m.
Registration Date April 25, 2026, 4:02 a.m.
Last Update April 24, 2026, 1:32 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:freescout:freescout:*:*:*:*:*:*:*:* 1.8.213
Related information, measures and tools
Common Vulnerabilities List