FreeScout, een open source helpdesk gebouwd met PHP, bevat een kritiek beveiligingslek waarbij onbetrouwbare data tot gevolg kan hebben dat kwaadwillenden op afstand code uitvoeren. Deze kwetsbaarheid, aangeduid als CVE-2025-54366, treft versies tot en met 1.8.185 en kan leiden tot volledige controle over de webapplicatie.
Wanneer onbevoegden toegang hebben tot deze kwetsbaarheid, kunnen zij het hele systeem compromitteren zonder dat de gebruiker dit merkt. Het is dan ook van essentieel belang om deze kwetsbaarheid zo snel mogelijk te patchen naar de veilige versie 1.8.186.
Overzicht
Deze kwetsbaarheid ontstaat door de onveilige deserialisatie van gebruikersdata in de functie Helper::decrypt() binnen de /conversation/ajax endpoint. In combinatie met een lek in de beveiliging van de parameters attachments_all en attachments, kunnen aanvallers er gebruik van maken als zij over de correcte APP_KEY beschikken.
Aanbevelingen
- Werk FreeScout onmiddellijk bij naar versie 1.8.186 om het gemelde beveiligingslek te dichten.
- Controleer of uw huidige versie kwetsbaar is aan de hand van de onderstaande versiedetails:
< 1.8.186
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54366?
Dit is een identifier voor een kwetsbaarheid in FreeScout, die onbetrouwbare deserialisatie van data mogelijk maakt met als gevolg Remote Code Execution.
Welke systemen zijn kwetsbaar voor CVE-2025-54366?
FreeScout versies beneden 1.8.186 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is opgelost in versie 1.8.186 van FreeScout.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan op afstand code uitvoeren en de volledige webapplicatie compromis brengen als zij bevoegdheden hebben.
