Spoo1K

Name of the Vulnerable Software and Affected Versions FreeScout versões anteriores a 1.8.212 Description FreeScout, um sistema de help desk e caixa de entrada compartilhada construído com Laravel, é afetado por uma falha onde o endpoint da API GET `/thread/read/{conversation id}/{thread id}` não exige autenticação e não possui validação para garantir que o `thread id` pertença ao `conversation id` especificado. Isso permite que um atacante não autenticado marque qualquer thread como lida usando IDs arbitrários, enumere IDs de thread válidos por meio de códigos de resposta HTTP (200 vs 404) e manipule os timestamps `opened at` em diferentes conversas. Este é um problema de IDOR (Referência Direta a Objeto Insegura). Recommendations Atualize para a versão 1.8.212 ou posterior do FreeScout.