A FreeScout ügyfélszolgálati platformban egy új, CVE-2026-28289 azonosítón nyomon követett kritikus sebezhetőséget azonosítottak, amely lehetővé teszi a támadók számára, hogy felhasználói interakció és hitelesítés nélkül távoli kódfuttatást (RCE) érjenek el a sérülékeny rendszereken. Az OX Security kiberbiztonsági kutatói szerint a sebezhetőség különösen veszélyes, mivel egyetlen speciálisan kialakított e-mail elküldésével kihasználható.
A FreeScout egy széles körben használt, nyílt forráskódú helpdesk-platform, amelyet szervezetek ügyfélszolgálati e-mailek és hibajegyek kezelésére használnak.
A sérülékenység egy korábban javított hiba, a CVE-2026-27636 megkerülésére épül. Az eredeti sebezhetőség kihasználásához hitelesített felhasználói hozzáférésre és fájlfeltöltési jogosultságra volt szükség. Az újonnan azonosított sebezhetőség azonban lehetővé teszi, hogy a támadó e-mail mellékleteken keresztül érje el ugyanazt az eredményt, így a támadás hitelesítés nélküli, úgynevezett zero-click exploitként is működhet.
A kutatók szerint a FreeScout korábbi javítása a veszélyes fájlok feltöltését úgy próbálta megakadályozni, hogy blokkolta a tiltott kiterjesztésű vagy ponttal kezdődő fájlneveket. Az OX azonban megállapította, hogy a fájlnév elejére beszúrható egy nulla szélességű szóköz (Unicode U+200B), amellyel megkerülhető az újonnan bevezetett ellenőrzési mechanizmus, mivel ez láthatatlan, nem jelenik meg a felhasználói felületen. A további lépések során ez a karakter eltávolításra kerül, így a fájl végül rejtett fájlként (dotfile) kerül mentésre.
A támadási lánc során (1. ábra) a támadó egy speciálisan kialakított mellékletet küld a FreeScout rendszerhez konfigurált postafiókba. A platform a mellékleteket a /storage/attachment/ könyvtárba menti, ahonnan a feltöltött rosszindulatú állomány a webes felületen keresztül elérhetővé válhat. Ezt követően a támadó parancsokat futtathat a kiszolgálón, ami végső soron a rendszer teljes kompromittálódásához vezethet.
Az OX Research Shodan-alapú felmérése szerint jelenleg mintegy 1100 nyilvánosan elérhető FreeScout-példány található az interneten.
A sebezhetőség a FreeScout minden verzióját érinti, 1.8.206-ig bezárólag. A fejlesztők a hibát az 1.8.207-es kiadásban javították. A gyártó figyelmeztetése szerint a sikeres kihasználás a szerver teljes kompromittálódásához, adatvédelmi incidensekhez, valamint a belső hálózatokba történő laterális mozgáshoz vezethet. Emiatt javasolt az érintett rendszerek haladéktalan frissítése.
A kutatók további védelmi intézkedésként javasolják az érintett rendszereken az Apache konfigurációjában az AllowOverride All beállítás letiltását. Bár a publikálás időpontjában még nem észleltek aktív támadásokat, a hiba jellege miatt várható, hogy a közeljövőben megjelennek a sérülékenység adta lehetőséget kihasználó kísérletek.