CVE-2026-41902

Nome do Software Vulnerável e Versões Afetadas FreeScout versões anteriores a 1.8.217

Descrição O endpoint '/user-setup/{hash}' aceita um invite hash aleatório de 60 caracteres para definir a senha de um novo usuário, mas não realiza a verificação de expiração, permitindo que o hash permaneça válido indefinidamente até ser utilizado. Isso pode levar ao takeover permanente e não autenticado de contas caso o hash seja vazado por meio de e-mails encaminhados, referenciadores HTTP para CDNs externas, logs do servidor ou e-mails abandonados em caixas de entrada compartilhadas. Se o convite vazado tiver sido enviado a um administrador, o invasor pode obter acesso administrativo.

Recomendações Atualizar para a versão 1.8.217.