Der ursprüngliche Patch für CVE-2026-27636 sollte gefährliche Datei-Uploads unterbinden, indem er Dateinamen mit eingeschränkten Endungen oder solche, die mit einem Punkt beginnen, abänderte. Das OX-Research-Team stellte jedoch fest, dass sich diese Prüfung umgehen lässt, indem ein Zero-Width-Space-Zeichen (Unicode U+200B) vor den Dateinamen gesetzt wird. Da dieses Zeichen nicht als sichtbarer Inhalt gewertet wird, passiert die Datei die Validierung.
In der weiteren Verarbeitung wird das Zeichen anschließend entfernt, sodass die Datei doch als Dotfile gespeichert wird – und damit greift erneut der Exploit für CVE-2026-27636, während die neu eingeführten Sicherheitsprüfungen vollständig umgangen werden.
Verschärfend kommt hinzu, dass sich CVE-2026-28289 über einen bösartigen E-Mail-Anhang auslösen lässt, der an ein in FreeScout konfiguriertes Postfach zugestellt wird. Das Programm legt den Anhang unter “/storage/attachment/…” ab. Dadurch kann der Angreifer die hochgeladene Schaddatei über die Weboberfläche aufrufen und ohne Authentifizierung oder Nutzerinteraktion Befehle auf dem Server ausführen.
In einem Sicherheitsbulletin beschreibt der Hersteller die Lücke als Patch-Umgehung in FreeScout 1.8.206: Jeder authentifizierte Nutzer mit Upload-Rechten könne durch das Hochladen einer bösartigen .htaccess-Datei mit vorangestelltem Zero-Width-Space-Zeichen die Sicherheitsprüfung umgehen und Remote Code Execution erreichen.
FreeScout ist eine quelloffene Helpdesk- und Shared-Mailbox-Plattform, mit der Organisationen Support-Mails und Tickets verwalten. Das GitHub-Repository des Projekts hat 4.100 Sterne und über 620 Forks; laut OX Research lieferten Shodan-Scans 1.100 öffentlich erreichbare Instanzen.
Die Schwachstelle betrifft alle Versionen bis einschließlich 1.8.206 und wurde mit Version 1.8.207 behoben. Das FreeScout-Team warnt, eine erfolgreiche Ausnutzung könne zur vollständigen Kompromittierung des Servers, zu Datenabflüssen, zu seitlicher Bewegung in interne Netzwerke und zu Dienstausfällen führen; ein sofortiges Einspielen des Patches wird empfohlen.
Darüber hinaus rät OX Research, in der Apache-Konfiguration des FreeScout-Servers die Option “AllowOverrideAll” zu deaktivieren – auch unter Version 1.8.207. Eine aktive Ausnutzung von CVE-2026-28289 wurde bislang nicht beobachtet, doch angesichts der Art der Lücke schätzen die Forscher die Gefahr bald einsetzender Angriffe als sehr hoch ein.
