FreeScout — это бесплатная служба поддержки и общий почтовый ящик, созданный с помощью PHP-фреймворка Laravel. До версии 1.8.211 функция checkIpByMask() в app/Misc/Helper.php проверяет, содержит ли входной IP символ /. Обычные IP-адреса никогда не содержат /, поэтому функция всегда возвращает false, не проверяя диапазоны CIDR.
Все частные диапазоны 10.0.0.0/8 и 172.16.0.0/12 незащищены. Эта проблема исправлена в версии 1.8.211.
Показать оригинальное описание (EN)
FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to version 1.8.211, checkIpByMask() in app/Misc/Helper.php checks whether the input IP contains a / character. Plain IP addresses never contain /, so the function always returns false without checking any CIDR ranges. The entire 10.0.0.0/8 and 172.16.0.0/12 private ranges are unprotected. This issue has been patched in version 1.8.211.
Характеристики атаки
Последствия
Строка CVSS v4.0