Šta se desilo?

Pronađena je značajna sigurnosna greška u FreeScout sistemu - besplatnom samohostovanom alatu za upravljanje korisničkim zahtevima. Problem se nalazi u mehanizmu generisanja tokena za preuzimanje priloga. Sistem koristi predvidlivu formulu zasnovanu na kombinaciji APP_KEY, identifikatora priloga i veličine fajla, što omogućava napadačima da pogađanjem kreiraju važeće tokene i preuzmu privatne dokumente bez potrebe za login.

Koga pogađa?

Sve organizacije i preduzeća koje koriste FreeScout verzije starije od 1.8.213 su potencijalno ugrožene. Posebno su riziku izložene institucije koje čuvaju osetljive dokumente i informacije kroz ovaj sistem - službe za korisnički servis, help desk timovi, i razne kompanije sa privatnom softverskom infrastrukturom.

Kako se zaštititi?

  • Hitno ažurirajte FreeScout na verziju 1.8.213 ili noviju
  • Proveru log fajlove sistema za sumnjive aktivnosti vezane za preuzimanje fajlova
  • Ako sumnjate da je sistema kompromitovan, pregledate sve preuzete priloge i privilegije korisnika
  • Implementirajte monitoring pristupa privatnim dokumentima
  • Razmislite o dodatnim slojevima zaštite za osetljive priložene fajlove

Tehnički detalji

CVE-2026-40496 - CVSS skor: 8.8 (HIGH). Ranjivost omogućava brute-force napade jer se tokeni generišu prema lako pogađljivoj šemi. Pošto je attachment_id sekvencijalan a veličina fajla može biti pogađana iz ograničenog raspona vrednosti, napadač bez pristupa sistemu može kreiranjem više zahteva pristupiti bilo kom prilogu.

Preporuka Sajber Radara

Ako koristite FreeScout, prioritetno ažurirajte sistem odmah. Ovo nije obična greška već ozbiljna ranjivost koja direktno omogućava neovlašćeni pristup privatnim fajlovima. Preporučujemo proveru da li je kompromitovani fajl dostupan iz server log-a.