Eine kritische Sicherheitslücke (CVE-2026-28289) in der FreeScout-Helpdesk-Plattform ermöglicht Angreifern Remote Code Execution durch manipulierte E-Mail-Anhänge ohne Benutzerinteraktion oder Authentifizierung.
Sicherheitsforscher von OX Security haben eine maximale Schwachstelle in der Open-Source-Helpdesk-Lösung FreeScout entdeckt, die es Angreifern erlaubt, beliebigen Code auf betroffenen Servern auszuführen. Die als CVE-2026-28289 katalogisierte Lücke umgeht dabei einen vorherigen Sicherheitspatch für eine ähnliche Anfälligkeit (CVE-2026-27636).
Die Angriffsmethode ist bemerkenswert einfach: Cyberkriminelle müssen nur eine präparierte E-Mail an eine in FreeScout konfigurierte Adresse versenden. Das System speichert den Anhang in einem zugänglichen Verzeichnis, von wo aus der Angreifer die Datei über die Web-Oberfläche abrufen und ausführen kann — alles ohne Authentifizierung oder manuelles Zutun eines Benutzers.
Die Sicherheitsforscher offenbarten ein raffiniertes Bypassing-Verfahren: Mit einem unsichtbaren Unicode-Zeichen (Zero-Width Space, U+200B) vor dem Dateinamen umgehen Angreifer die neueingeführten Validierungsmechanismen. Während der Verarbeitung wird dieses Zeichen entfernt, wodurch die Datei als versteckte Datei (Dotfile) gespeichert wird und die alte Schwachstelle erneut ausgelöst werden kann.
FreeScout ist eine weit verbreitete, selbst gehostete Alternative zu kommerziellen Lösungen wie Zendesk oder Help Scout. Das GitHub-Repository verzeichnet über 4.100 Sterne und 620 Forks. Shodan-Scans der Forscher offenbarten etwa 1.100 öffentlich zugängliche Instanzen, was auf eine große Verbreitung hinweist.
Betroffen sind alle Versionen bis einschließlich 1.8.206. Ein Patch wurde vor vier Tagen mit Version 1.8.207 veröffentlicht. Laut FreeScout-Team könnte eine erfolgreiche Ausnutzung zu vollständiger Serverkompromittierung, Datenlecks, Netzwerkpenetrationen und Ausfallzeiten führen. Die sofortige Aktualisierung wird dringend empfohlen.
Zusätzlich raten Sicherheitsexperten, die Direktive ‘AllowOverrideAll’ in der Apache-Konfiguration zu deaktivieren — selbst auf bereits gepatchen Systemen. Bislang wurden keine aktiven Angriffe in freier Wildbahn beobachtet, doch die Risiken sind extrem hoch.
Quelle: BleepingComputer