Уязвимость максимальной степени критичности в платформе службы поддержки FreeScout позволяет хакерам добиться удаленного выполнения кода без какого-либо взаимодействия с пользователем или аутентификации.
Эта уязвимость отслеживается как CVE-2026-28289 и обходит исправление другой проблемы безопасности, связанной с удаленным выполнением кода (RCE) (CVE-2026-27636), которую могли использовать аутентифицированные пользователи с правами на загрузку.
Исследователи из OX Security, компании, обеспечивающей безопасность приложений от кода до времени выполнения, заявляют, что злоумышленник может использовать новую уязвимость, «отправив одно специально сформированное электронное письмо на любой адрес, настроенный в FreeScout».
По их словам, исправление пыталось заблокировать опасную загрузку файлов путем изменения имен файлов с ограниченными расширениями или тех, что начинаются с точки.
Команда OX Research обнаружила, что перед именем файла можно вставить пробел нулевой ширины (Unicode U+200B), чтобы обойти недавно введенный механизм проверки, поскольку этот символ не рассматривается как видимое содержимое.
Последующая обработка удаляет этот символ, позволяя сохранить файл как dotfile, и, следовательно, по-прежнему вызывать эксплуатацию CVE-2026-27636, полностью обходя последние проверки безопасности.
Что еще хуже, CVE-2026-28289 может быть задействована вредоносным вложением электронной почты, доставленным в почтовый ящик, настроенный в FreeScout, как заявляют исследователи.
Программа сохраняет вложение в каталоге «/storage/attachment/…», что позволяет злоумышленнику получить доступ к загруженному полезному содержимому через веб-интерфейс и выполнять команды на сервере без аутентификации или взаимодействия с пользователем, что делает эту уязвимость уязвимостью нулевого клика.
«Уязвимость обхода патча в FreeScout 1.8.206 позволяет любому аутентифицированному пользователю с правами на загрузку файлов добиться удаленного выполнения кода (RCE) на сервере путем загрузки вредоносного файла .htaccess с использованием префикса в виде символа нулевой ширины для обхода проверки безопасности», — говорится в бюллетене безопасности от поставщика.
FreeScout — это платформа службы поддержки и общей почтовой системы с открытым исходным кодом, которую организации используют для управления обращениями и тикетами службы поддержки клиентов. Это решение с самостоятельным размещением, альтернатива Zendesk или Help Scout.
Репозиторий проекта на GitHub имеет 4100 звезд и более 620 форков, а OX Research сообщает, что их сканирование Shodan выявило 1100 общедоступных экземпляров, что указывает на широкое распространение этого решения.
CVE‑2026‑28289 затрагивает все версии FreeScout до 1.8.206 включительно и была исправлена в версии 1.8.207, выпущенной четыре дня назад.
Команда FreeScout предупредила, что успешная эксплуатация CVE‑2026‑28289 может привести к полной компрометации сервера, утечкам данных, горизонтальному перемещению во внутренние сети и нарушению работы сервисов. Следовательно, немедленное обновление настоятельно рекомендуется.
OX Research также рекомендовала отключить ‘AllowOverrideAll’ в конфигурации Apache на сервере FreeScout, даже при использовании версии 1.8.207.
На момент написания этой статьи активная эксплуатация CVE‑2026‑28289 в реальных условиях не наблюдалась, однако, учитывая характер этой уязвимости, опасность начала вредоносной активности в ближайшее время очень высока.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
