CVE-2026-45294
MediumCVSS 5.3Summary
FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach przed 1.8.219 punkt końcowy resetowania hasła zwracał różne odpowiedzi w zależności od tego, czy podany adres e-mail należy do istniejącego konta użytkownika, co umożliwiało nieautoryzowanym atakującym enumerację ważnych adresów e-mail agentów pomocy technicznej.
Risk Assessment
Organizacje mogą być narażone na ataki związane z ujawnieniem adresów e-mail agentów, co może prowadzić do dalszych prób phishingowych lub innych form ataków. Umożliwienie atakującym identyfikacji ważnych kont zwiększa ryzyko naruszenia bezpieczeństwa.
Recommendation
Zaleca się aktualizację FreeScout do wersji 1.8.219 lub nowszej, aby usunąć tę podatność. Dodatkowo warto rozważyć wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie liczby prób resetowania hasła.
Original NVD description (English source)
FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to 1.8.219, the password reset endpoint returns visually distinct responses depending on whether the submitted email address belongs to an existing user account, allowing unauthenticated attackers to enumerate valid helpdesk agent email addresses. This vulnerability is fixed in 1.8.219.

