| タイトル | FreeScoutにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | FreeScoutは無料のセルフホスト型ヘルプデスクおよび共有メールボックスのソフトウェアです。バージョン1.8.213以前のFreeScoutでは、`Helper::stripDangerousTags()`関数は`script`、`form`、`iframe`、`object`タグを削除しますが、`style`タグは削除しません。メールボックスの署名フィールドはPOST /mailbox/settings/{id}を通じて保存され、その後会話ビューで`{!! $conversation-getSignatureProcessed([], true) !!}`を用いてエスケープされずにレンダリングされます。コンテンツセキュリティポリシー(CSP)は`style-src * 'self' 'unsafe-inline'`を許可しているため、注入されたインラインスタイルが自由に実行されます。メールボックス設定にアクセス可能な攻撃者(管理者またはメールボックス権限を持つエージェント)は、CSS属性セレクターを注入して、そのメールボックスの会話を閲覧した任意のエージェントや管理者のCSRFトークンを漏洩させることができます。攻撃者はCSRFトークンを使用して、被害者として任意の状態変更アクション(管理者アカウントの作成、メールアドレスやパスワードの変更など)を実行でき、エージェントから管理者への権限昇格を引き起こします。これはGHSA-jqjf-f566-485jの不完全な修正の結果です。このアドバイザリではメールボックス署名を介したXSSが報告され、そのため署名保存前に`Helper::stripDangerousTags()`によるフィルタリングが適用されました。しかし、`stripDangerousTags()`は`script`、`form`、`iframe`、`object`タグのみを削除し、`style`タグは削除しないため、CSS注入が依然として可能です。バージョン1.8.213ではこの問題を修正した更新版が含まれています。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月21日0:00 |
| 登録日 | 2026年4月27日11:20 |
| 最終更新日 | 2026年4月27日11:20 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
| FreeScout |
| FreeScout 1.8.213 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日11:20 |
| 概要 | FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.213, FreeScout's `Helper::stripDangerousTags()` removes `<script>`, `<form>`, `<iframe>`, `<object>` but does NOT strip `<style>` tags. The mailbox signature field is saved via POST /mailbox/settings/{id} and later rendered unescaped via `{!! $conversation->getSignatureProcessed([], true) !!}` in conversation views. CSP allows `style-src * 'self' 'unsafe-inline'`, so injected inline styles execute freely. An attacker with access to mailbox settings (admin or agent with mailbox permission) can inject CSS attribute selectors to exfiltrate the CSRF token of any agent/admin who views a conversation in that mailbox. With the CSRF token, the attacker can perform any state-changing action as the victim (create admin accounts, change email/password, etc.) — privilege escalation from agent to admin. This is the result of an incomplete fix of GHSA-jqjf-f566-485j. That advisory reported XSS via mailbox signature. The fix applied `Helper::stripDangerousTags()` to the signature before saving. However, `stripDangerousTags()` only removes `script`, `form`, `iframe`, and `object` tags — it does NOT strip `<style>` tags, leaving CSS injection possible. Version 1.8.213 contains an updated fix. |
|---|---|
| 公表日 | 2026年4月21日12:16 |
| 登録日 | 2026年4月25日4:02 |
| 最終更新日 | 2026年4月24日1:32 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:freescout:freescout:*:*:*:*:*:*:*:* | 1.8.213 | ||||