CVE-2025-54366

plus petit que 1 minute de lecture

Mis à jour : August 11, 2025

Exécution de Code à Distance via Désérialisation Dangereuse dans FreeScout

Une faille de sécurité critique, identifiée par CVE-2025-54366, a été découverte dans FreeScout, affectant les versions 1.8.185 et antérieures. Cette vulnérabilité, localisée dans le point de terminaison /conversation/ajax, permet à un utilisateur authentifié possédant la APP_KEY d’exécuter du code à distance.

L’exploitation repose sur la fonction Helper::decrypt() qui désérialise de manière non sécurisée les paramètres attachments_all et attachments reçus via des requêtes POST. L’absence de validation adéquate des données contrôlées par l’utilisateur permet la création d’objets arbitraires et la manipulation de leurs propriétés, pouvant mener à une compromission totale de l’application web.

La vulnérabilité a été corrigée dans la version 1.8.186 de FreeScout.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-54366

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast