CVE-2026-41192

Name of the Vulnerable Software and Affected Versions FreeScout versões anteriores a 1.8.215

Description Os fluxos de resposta e rascunho confiam em IDs de anexos criptografados fornecidos pelo cliente. Quaisquer IDs incluídos na variável attachments all[], mas omitidos das listas retidas, são descriptografados e passados para a função deleteByIds() da classe Attachment. Como a função load attachments retorna IDs criptografados para anexos em uma conversa visível, um peer da caixa de correio pode repetir esses IDs através do endpoint 'save draft' para excluir a linha e o arquivo do anexo original.

Recommendations Atualizar para a versão 1.8.215.