CVE-2025-58163

Nome do Software Vulnerável e Versões Afetadas Versões do FreeScout 1.8.185 e anteriores

Descrição O FreeScout é um help desk e caixa de entrada compartilhada construído com o framework Laravel do PHP. Versões anteriores à 1.8.186 contêm uma vulnerabilidade de desserialização de dados não confiáveis que permite a atacantes autenticados com conhecimento da APP KEY da aplicação realizar execução remota de código. A vulnerabilidade é explorada via o endpoint /help/{mailbox id}/auth/{customer id}/{hash}/{timestamp}, onde os parâmetros customer id e timestamp são processados através da função decrypt em app/Helper.php sem validação adequada. O código descriptografa utilizando as funções de criptografia integradas do Laravel, que subsequentemente desserializam o payload descriptografado sem sanitização, permitindo que atacantes criem objetos PHP serializados maliciosos para desencadear a execução arbitrária de comandos.

Recomendações Atualize para a versão 1.8.186 ou posterior do FreeScout.