FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to version 1.8.211, host header manipulation in FreeScout version (http://localhost:8080/system/status) allows an attacker to inject an arbitrary domain into generated absolute URLs. This leads to External Resource Loading and Open Redirect behavior. When the application constructs links and assets using the unvalidated Host header, user requests can be redirected to attacker-controlled domains and external resources may be loaded from malicious servers. This issue has been patched in version 1.8.211.
FreeScout versions before 1.8.211 are vulnerable to host header manipulation that allows attackers to inject arbitrary domains into generated URLs, leading to open redirects and external resource loading. This vulnerability affects the application's ability to validate the Host header when constructing absolute URLs.
تحتوي نسخ FreeScout السابقة للإصدار 1.8.211 على ثغرة في التحقق من صحة رأس المضيف (Host Header) مما يسمح للمهاجمين بحقن نطاقات خارجية. يمكن استغلال هذه الثغرة لإعادة توجيه المستخدمين إلى مواقع ضارة أو تحميل موارد خارجية من خوادم يتحكم بها المهاجم.
إصدارات FreeScout السابقة للإصدار 1.8.211 عرضة للتلاعب برأس المضيف مما يسمح للمهاجمين بحقن نطاقات عشوائية في عناوين URL المُنشأة، مما يؤدي إلى عمليات إعادة التوجيه المفتوحة وتحميل الموارد الخارجية. تؤثر هذه الثغرة على قدرة التطبيق على التحقق من صحة رأس المضيف.
Upgrade FreeScout to version 1.8.211 or later immediately. Implement strict Host header validation by whitelisting allowed domains. Configure web server to reject requests with invalid Host headers. Use HTTPS and implement HSTS headers to prevent protocol downgrade attacks. Monitor access logs for suspicious Host header values.
قم بترقية FreeScout إلى الإصدار 1.8.211 أو أحدث على الفور. قم بتنفيذ التحقق الصارم من رأس المضيف من خلال إنشاء قائمة بيضاء للنطاقات المسموحة. قم بتكوين خادم الويب لرفض الطلبات برؤوس مضيف غير صحيحة. استخدم HTTPS وقم بتنفيذ رؤوس HSTS لمنع هجمات الانحدار البروتوكولي. راقب سجلات الوصول للقيم المريبة في رأس المضيف.