Vulnerabilidad en FreeScout (CVE-2025-48389)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

29/05/2025

Última modificación:

30/05/2025

Descripción

FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.178, FreeScout era vulnerable a la deserialización de datos no confiables debido a una validación insuficiente. Mediante la función "set", se puede pasar una cadena con un objeto serializado, y al obtener una opción mediante el método "get", se produce la deserialización, lo que permite la ejecución de código arbitrario. Este problema se ha corregido en la versión 1.8.178.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.60

Gravedad 4.0

ALTA

Vulnerabilidad en FreeScout (CVE-2025-48389)

Descripción

Impacto

Referencias a soluciones, herramientas e información