CVE-2026-40568

Name of the Vulnerable Software and Affected Versions FreeScout versões anteriores a 1.8.213

Description Um problema de cross-site scripting (XSS) armazenado existe no recurso de assinatura de caixa de correio. A função de sanitização Helper::stripDangerousTags() utiliza uma lista de bloqueio incompleta de tags HTML e não remove atributos de manipuladores de eventos. Quando uma assinatura de caixa de correio é salva via MailboxesController::updateSave(), elementos HTML como <img>, <svg> e <details> contendo atributos de manipuladores de eventos como onerror e onload são armazenados no banco de dados. Estes são posteriormente renderizados como HTML bruto, disparando os manipuladores de eventos injetados. Qualquer usuário autenticado com a permissão ACCESS PERM SIGNATURE pode injetar HTML e JavaScript arbitrários. O payload é executado automaticamente quando um agente ou administrador abre uma conversa na caixa de correio afetada, podendo levar ao sequestro de sessão, sobreposições de phishing, exfiltração de e-mails via atribuição em massa e comportamento de worm autopropagável.

Recommendations Atualizar para a versão 1.8.213.