Vulnerabilidad en freescout de freescout-help-desk (CVE-2026-32752)

Gravedad:

Pendiente de análisis

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

19/03/2026

Última modificación:

23/03/2026

Descripción

FreeScout es un help desk gratuito y una bandeja de entrada compartida construido con el framework Laravel de PHP. En las versiones 1.8.208 e inferiores, el método ThreadPolicy::edit() contiene una vulnerabilidad de control de acceso roto que permite a cualquier usuario autenticado (independientemente de su rol o acceso al buzón) leer y modificar todos los mensajes de hilo creados por clientes en todos los buzones. Esta falla permite la modificación silenciosa de los mensajes de los clientes (alteración de pruebas), omite todo el modelo de permisos del buzón y constituye una violación de GDPR/cumplimiento. El problema ha sido solucionado en la versión 1.8.209.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 0.00 Pendiente de análisis
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno