Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en FreeScout (CVE-2025-48483)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
30/05/2025
Última modificación:
04/06/2025

Descripción

FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.180, la aplicación era vulnerable a ataques de Cross-Site Scripting (XSS) debido a la validación y depuración incorrecta de los datos introducidos por el usuario durante la desinfección de la firma de correo. Un atacante puede inyectar código HTML arbitrario, incluyendo scripts JavaScript, en la página procesada por el navegador del usuario, lo que le permite robar datos confidenciales, secuestrar sesiones de usuario o realizar otras actividades maliciosas. Además, si un administrador accede a uno de estos correos electrónicos con una firma modificada, podría provocar una vulnerabilidad de Cross-Site Request Forgery (CSRF). Este problema se ha corregido en la versión 1.8.180.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:freescout:freescout:*:*:*:*:*:*:*:* 1.8.180 (excluyendo)