CVE-2026-40569

Name of the Vulnerable Software and Affected Versions FreeScout versões anteriores a 1.8.213

Description Existe um problema nos endpoints de configurações de conexão de caixa de correio onde as funções connectionIncomingSave() e connectionOutgoingSave() passam todos os dados da requisição diretamente para o método de preenchimento da caixa de correio sem uma lista de permissões de campos. Isso permite que um administrador autenticado sobrescreva campos críticos de segurança no modelo Mailbox, como auto bcc, out server, out password, signature, auto reply enabled e auto reply message, ao anexar parâmetros ocultos a uma requisição legítima. Isso pode levar à exfiltração silenciosa de e-mails ao enviar cópias BCC de e-mails salientes para um endereço externo, redirecionar o tráfego SMTP através de um servidor controlado por um invasor ou injetar conteúdo malicioso em assinaturas de e-mail e respostas automáticas.

Recommendations Atualizar para a versão 1.8.213.