CVE-2026-35584

Name of the Vulnerable Software and Affected Versions FreeScout versões anteriores a 1.8.212

Description FreeScout, um sistema de help desk e caixa de entrada compartilhada construído com Laravel, é afetado por uma falha onde o endpoint da API GET /thread/read/{conversation id}/{thread id} não exige autenticação e não possui validação para garantir que o thread id pertença ao conversation id especificado. Isso permite que um atacante não autenticado marque qualquer thread como lida usando IDs arbitrários, enumere IDs de thread válidos por meio de códigos de resposta HTTP (200 vs 404) e manipule os timestamps opened at em diferentes conversas. Este é um problema de IDOR (Referência Direta a Objeto Insegura).

Recommendations Atualize para a versão 1.8.212 ou posterior do FreeScout.