Cve-2026-28289

Uma vulnerabilidade de severidade máxima foi identificada na plataforma FreeScout, que permite a execução remota de código (RCE) sem interação do usuário ou autenticação. A falha, identificada como CVE-2026-28289, contorna uma correção anterior (CVE-2026-27636) que afetava usuários autenticados com permissões de upload. Pesquisadores da OX Security descobriram que um atacante pode explorar essa vulnerabilidade enviando um e-mail malicioso para qualquer endereço configurado no FreeScout. O problema reside na manipulação de nomes de arquivos, onde um espaço em branco invisível (Unicode U+200B) pode ser adicionado antes do nome do arquivo, permitindo que ele seja salvo como um arquivo oculto e contorne as verificações de segurança. A exploração pode resultar em comprometimento total do servidor, violação de dados e interrupção de serviços. A versão 1.8.207 do FreeScout, lançada recentemente, corrige essa falha, mas recomenda-se desabilitar a configuração ‘AllowOverrideAll’ no Apache para maior segurança. Embora não haja exploração ativa observada até o momento, a natureza da vulnerabilidade indica um alto risco de atividade maliciosa iminente.