CVE-2026-28289

Nome do Software Vulnerável e Versões Afetadas Versões do FreeScout anteriores a 1.8.207

Descrição O software de help desk FreeScout é afetado por uma vulnerabilidade crítica que permite aos atacantes executar código remotamente sem qualquer interação do usuário. Esta falha, identificada como CVE-2026-28289, contorna uma correção de segurança anterior e permite a Execução Remota de Código (RCE) não autenticada via um e-mail manipulado. A vulnerabilidade decorre de um problema de Time-of-Check to Time-of-Use (TOCTOU) no processo de sanitização de nomes de arquivo, especificamente na função sanitizeUploadedFileName() dentro de app/Http/Helper.php. Os atacantes podem explorar isso adicionando um caractere de espaço de largura zero (U+200B) no início dos nomes de arquivo, contornando as verificações de validação e permitindo o upload de arquivos maliciosos, como arquivos .htaccess. Isso permite aos atacantes obter controle total sobre servidores vulneráveis, potencialmente levando ao roubo de dados e comprometimento do servidor. A vulnerabilidade pode ser acionada pelo envio de um e-mail malicioso para qualquer endereço configurado dentro do sistema FreeScout.

Recomendações Atualize para a versão 1.8.207 do FreeScout. Desative AllowOverrideAll na configuração do Apache para reduzir o risco de exploração.