CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48810

MediumCVSS 4.3
Published: Updated: Translated: NVD NIST

Summary

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. Przed wersją 1.8.221, w metodzie ThreadPolicy::edit występował brak weryfikacji członkostwa w skrzynce, co pozwalało użytkownikowi z uprawnieniem PERM_EDIT_CONVERSATIONS na modyfikację treści wątku po usunięciu go z Mailbox A przez administratora.

Risk Assessment

Organizacja może być narażona na nieautoryzowane modyfikacje treści wątków, co może prowadzić do dezinformacji i utraty zaufania do systemu. Potencjalne naruszenie integralności danych może wpłynąć na procesy biznesowe.

Recommendation

Zaleca się aktualizację do wersji 1.8.221 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników w systemie.

Original NVD description (English source)

FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to 1.8.221, while investigating the ThreadPolicy::delete issue reported previously, the same missing mailbox membership check was found in the sibling ThreadPolicy::edit method. A user with the PERM_EDIT_CONVERSATIONS permission who created a message or internal note in Mailbox A can rewrite that thread's body after an administrator removes them from Mailbox A, because the policy checks only authorship and a global permission flag — not current mailbox membership. This vulnerability is fixed in 1.8.221.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS