JVNDB-2026-012817

FreeScoutにおけるクロスサイトスクリプティングの脆弱性

FreeScoutは無料のセルフホスト型ヘルプデスクおよび共有メールボックスのソフトウェアです。バージョン1.8.213以前のFreeScoutでは、`Helper::stripDangerousTags()`関数は`script`、`form`、`iframe`、`object`タグを削除しますが、`style`タグは削除しません。メールボックスの署名フィールドはPOST /mailbox/settings/{id}を通じて保存され、その後会話ビューで`{!! $conversation-getSignatureProcessed([], true) !!}`を用いてエスケープされずにレンダリングされます。コンテンツセキュリティポリシー（CSP）は`style-src * 'self' 'unsafe-inline'`を許可しているため、注入されたインラインスタイルが自由に実行されます。メールボックス設定にアクセス可能な攻撃者（管理者またはメールボックス権限を持つエージェント）は、CSS属性セレクターを注入して、そのメールボックスの会話を閲覧した任意のエージェントや管理者のCSRFトークンを漏洩させることができます。攻撃者はCSRFトークンを使用して、被害者として任意の状態変更アクション（管理者アカウントの作成、メールアドレスやパスワードの変更など）を実行でき、エージェントから管理者への権限昇格を引き起こします。これはGHSA-jqjf-f566-485jの不完全な修正の結果です。このアドバイザリではメールボックス署名を介したXSSが報告され、そのため署名保存前に`Helper::stripDangerousTags()`によるフィルタリングが適用されました。しかし、`stripDangerousTags()`は`script`、`form`、`iframe`、`object`タグのみを削除し、`style`タグは削除しないため、CSS注入が依然として可能です。バージョン1.8.213ではこの問題を修正した更新版が含まれています。

FreeScout

• FreeScout 1.8.213 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : CSS Injection via Stored Style Tag in Mailbox Signature (CSRF Token Exfiltration)  Advisory  freescout-help-desk/freescout  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-40497

1. National Vulnerability Database (NVD) : CVE-2026-40497
2. 関連文書 : Release 1.8.213  freescout-help-desk/freescout  GitHub
3. 関連文書 : Strip also style tags in Helper::stripDangerousTags()  freescout-help-desk/freescout@5aa8d63  GitHub

• [2026年04月27日]
    掲載