CVE-2026-41193
CriticalSummary
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. Przed wersją 1.8.215, funkcja instalacji modułów w FreeScout rozpakowywała archiwa ZIP bez weryfikacji ścieżek plików, co pozwalało uwierzytelnionemu administratorowi na dowolne zapisywanie plików na systemie plików serwera za pomocą specjalnie przygotowanego archiwum ZIP. Wersja 1.8.215 naprawia tę podatność.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików serwera, co stwarza ryzyko wycieku danych lub złośliwego oprogramowania. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do ich systemów.
Recommendation
Zaleca się aktualizację FreeScout do wersji 1.8.215 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby upewnić się, że nie doszło do nadużyć związanych z tą luką.
Original NVD description (English source)
FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.215, FreeScout's module installation feature extracts ZIP archives without validating file paths, allowing an authenticated admin to write files arbitrarily on the server filesystem via a specially crafted ZIP. Version 1.8.215 fixes the vulnerability.

