Uma vulnerabilidade de severidade crítica foi identificada no FreeScout, uma solução de help desk e caixa de entrada compartilhada de código aberto. De acordo com um alerta da Ox Security, a falha, registrada como CVE-2026-28289 e com pontuação máxima de 10 no CVSS, pode ser explorada em ataques de execução remota de código do tipo zero-click, sem exigir qualquer interação do usuário.
Detalhes da falha e bypass de patch anterior
A CVE-2026-28289 é, na verdade, um bypass do patch para uma vulnerabilidade anterior de alta gravidade, a CVE-2026-27636. O problema original era uma falha de upload de arquivos que permitia a um atacante autenticado fazer o upload de um arquivo .htaccess malicioso. A correção para essa falha tentou bloquear nomes de arquivo que começassem com um ponto (“.”) ou tivessem extensões restritas, adicionando um sublinhado à extensão.
No entanto, a Ox Security descobriu que a correção poderia ser contornada com o uso de um caractere de espaço de largura zero (Unicode U+200B). Por ser invisível, esse caractere faz com que o nome do arquivo passe pela verificação inicial. Após o upload, o caractere U+200B é removido e o arquivo é salvo como um verdadeiro dotfile (.htaccess), permitindo a manipulação do processamento de arquivos e a consequente execução remota de código.
Exploração remota sem autenticação
A exploração da CVE-2026-28289 é particularmente perigosa porque pode ser realizada de forma remota e sem autenticação. Um atacante pode enviar um e-mail malicioso de qualquer endereço para uma caixa de entrada configurada no FreeScout. O payload malicioso é então escrito no disco do servidor. Como é possível prever onde o arquivo será salvo, o atacante consegue acessá-lo e executar comandos no servidor.
Uma exploração bem-sucedida pode conceder ao invasor o controle total do servidor vulnerável, permitindo o roubo de dados sensíveis, como tickets de help desk e conteúdo de caixas de entrada, além de possibilitar o movimento lateral para outros sistemas na rede.
Versões afetadas e recomendação de correção
De acordo com os mantenedores do FreeScout, todas as instalações da versão 1.8.206 são afetadas quando executadas no Apache com a diretiva AllowOverride All habilitada, uma configuração comum. A vulnerabilidade CVE-2026-28289 foi resolvida na versão 1.8.207 do FreeScout. Os usuários são fortemente aconselhados a atualizar suas implantações o mais rápido possível.






