Nirzadokox

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreeScout anteriores a 1.8.207 **Descrição** O software de help desk FreeScout é afetado por uma vulnerabilidade crítica que permite aos atacantes executar código remotamente sem qualquer interação do usuário. Esta falha, identificada como CVE-2026-28289, contorna uma correção de segurança anterior e permite a Execução Remota de Código (RCE) não autenticada via um e-mail manipulado. A vulnerabilidade decorre de um problema de Time-of-Check to Time-of-Use (TOCTOU) no processo de sanitização de nomes de arquivo, especificamente na função `sanitizeUploadedFileName()` dentro de app/Http/Helper.php. Os atacantes podem explorar isso adicionando um caractere de espaço de largura zero (U+200B) no início dos nomes de arquivo, contornando as verificações de validação e permitindo o upload de arquivos maliciosos, como arquivos .htaccess. Isso permite aos atacantes obter controle total sobre servidores vulneráveis, potencialmente levando ao roubo de dados e comprometimento do servidor. A vulnerabilidade pode ser acionada pelo envio de um e-mail malicioso para qualquer endereço configurado dentro do sistema FreeScout. **Recomendações** Atualize para a versão 1.8.207 do FreeScout. Desative AllowOverrideAll na configuração do Apache para reduzir o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dataease anteriores à 2.10.19 **Descrição** O Dataease, uma ferramenta de análise e visualização de dados de código aberto, está suscetível a um problema de apropriação de conta. A ferramenta utiliza o hash MD5 da senha de um usuário como o segredo de assinatura JWT. Essa derivação previsível do segredo permite que um invasor execute um ataque de força bruta na senha de um administrador, explorando endpoints de API não monitorados que verificam tokens JWT. **Recomendações** Atualize para a versão 2.10.19 ou posterior.