CVE-2026-40567

Name of the Vulnerable Software and Affected Versions FreeScout versões anteriores a 1.8.213

Description Um invasor não autenticado pode injetar HTML arbitrário em e-mails enviados ao enviar um e-mail com um nome de exibição From manipulado. O nome é armazenado no banco de dados sem sanitização e renderizado sem escape em e-mails de resposta enviados por meio da variável de assinatura {%customer.fullName%}. Isso permite a incorporação de links de phishing, pixels de rastreamento e conteúdo falsificado dentro de e-mails de suporte legítimos enviados do endereço da organização.

Recommendations Atualizar para a versão 1.8.213.