CVE-2026-41193
FreeScout has Zip Slip path traversal in module installation that allows arbitrary file write leading to RCE
Em resumo
O instalador de módulos do FreeScout não valida os caminhos dos arquivos dentro de ZIPs, permitindo que um admin escreva arquivos em qualquer lugar do servidor e execute código malicioso.
Detalhe técnico
Vulnerabilidade de path traversal (CWE-22) na extração de ZIP durante instalação de módulos permite que administradores autenticados escrevam arquivos arbitrários no sistema de arquivos através de entradas de arquivo manipuladas, viabilizando execução remota de código. A falha resulta da falta de validação dos caminhos de arquivo extraídos antes da escrita em disco.
Resumo gerado e traduzido por IA a partir da descrição oficial.
FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.215, FreeScout's module installation feature extracts ZIP archives without validating file paths, allowing an authenticated admin to write files arbitrarily on the server filesystem via a specially crafted ZIP. Version 1.8.215 fixes the vulnerability.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
freescout-help-desk · freescoutQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →