Uma vulnerabilidade crítica na plataforma de helpdesk FreeScout permite a execução remota de código sem qualquer interação do usuário ou necessidade de autenticação.
Identificada como
CVE-2026-28289
, a falha contorna uma correção anterior para outra vulnerabilidade de execução remota de código (RCE), a
CVE-2026-27636
, que só poderia ser explorada por usuários autenticados com permissão para upload.
Pesquisadores da OX Security, empresa especializada em segurança de aplicações desde o código até a execução, explicam que o invasor pode explorar a nova vulnerabilidade simplesmente enviando um e-mail malicioso para qualquer endereço configurado no FreeScout.
O problema acontece porque a correção anterior tentava bloquear uploads suspeitos renomeando arquivos com extensões restritas ou cujo nome começasse com ponto.
No entanto, a equipe da OX descobriu que é possível inserir um caractere de espaço sem largura (Unicode U+200B) antes do nome do arquivo para burlar essa validação, já que esse caractere não é interpretado como conteúdo visível.
Durante o processamento, o caractere invisível é removido, fazendo com que o arquivo seja salvo como um dotfile, o que permite explorar completamente a
CVE-2026-27636
, ignorando as últimas verificações de segurança.
Mais grave, a
CVE-2026-28289
pode ser acionada por meio de um anexo malicioso enviado por e-mail para uma caixa configurada no FreeScout, segundo os pesquisadores.
O sistema armazena o anexo no diretório “/storage/attachment/…”, permitindo que o atacante acesse o arquivo pela interface web e execute comandos no servidor sem autenticação ou interação do usuário — caracterizando uma vulnerabilidade zero-click.
“O patch aplicado no FreeScout 1.8.206 permite que qualquer usuário autenticado com permissão de upload execute código remotamente ao enviar um arquivo .htaccess malicioso prefixado por um caractere de espaço sem largura para burlar a verificação de segurança”, alerta o fornecedor em boletim.
O FreeScout é uma plataforma open-source de helpdesk e caixas de e-mail compartilhadas, usada por organizações para gerenciar tickets e suporte ao cliente.
É uma alternativa self-hosted ao Zendesk e ao Help Scout.
O repositório do projeto no GitHub tem 4.100 estrelas e mais de 620 forks.
Segundo a Shodan, há cerca de 1.100 instâncias publicamente acessíveis, o que indica ampla utilização.
A falha
CVE-2026-28289
afeta todas as versões do FreeScout até a 1.8.206 e foi corrigida na versão 1.8.207, lançada há quatro dias.
A equipe do FreeScout alertou que uma exploração bem-sucedida pode levar ao comprometimento total do servidor, vazamento de dados, movimentação lateral em redes internas e interrupção dos serviços, reforçando a urgência na aplicação do patch.
Além disso, a OX Research recomenda desabilitar a opção ‘AllowOverrideAll’ na configuração do Apache para o servidor FreeScout, mesmo para quem já atualizou para a versão 1.8.207.
Até o momento, não há registro de exploração ativa da
CVE-2026-28289
em ambiente real, mas, diante da gravidade da vulnerabilidade, o risco de ataques maliciosos iminentes é alto.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...