文章总结： FreeScout被曝CVSS10.0高危漏洞CVE-2026-28289，攻击者利用零宽度空格绕过文件清理逻辑实现未经身份验证的RCE。该漏洞源于TOCTOU问题，影响1.8.206版本，威胁数据安全。官方已发布1.8.207修复，建议立即升级。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,WEB安全,漏洞POC

CVSS 10.0 FreeScout 中的未经身份验证的远程代码执行（公开概念验证）

sec随谈 sec随谈

sec随谈

2026年3月5日 08:53 北京

安全研究人员在流行的开源帮助台和共享收件箱平台 FreeScout 中发现了一个最高级别的漏洞。该漏洞编号为 CVE-2026-28289，CVSS 评分为 10.0，属于最高严重级别，因为它允许攻击者利用巧妙的“不可见”字符技巧，在未经身份验证的情况下执行远程代码 (RCE)。

FreeScout 因其注重隐私保护，被众多组织广泛用作 Zendesk 和 Help Scout 的替代方案。然而，最新发现表明，一个旨在修复先前漏洞的补丁程序可以通过一个不可见的字符被完全绕过。

该漏洞存在于平台的文件上传清理逻辑中，具体位置在 app/Http/Helper.php 文件中。该系统旨在通过检查文件名是否以点号开头来阻止上传危险文件，例如 .htaccess 文件。

然而，研究人员发现了一个检查时间到使用时间（TOCTOU）漏洞。攻击者可以在文件名前添加零宽度空格（ZWSP）字符（U+200B）。

由于 ZWSP 字符实际上是文件名中的第一个字符，系统的“点号检查”机制会检测到文件名并非以点号开头，从而允许上传。安全检查完成后，系统自身的清理流程会启动，移除“不可见”的 ZWSP 字符，以确保文件名符合服务器的要求。最终生成的文件将保存为合法的 .htaccess 文件。

通过上传恶意 .htaccess 文件，未经身份验证的攻击者可以执行任意系统命令，从而导致服务器完全被攻陷。

此漏洞对受影响的帮助台系统构成生存威胁。成功利用此漏洞后，攻击者可以：

• 访问私人数据：窃取所有存储的电子邮件、对话和敏感附件。
• 横向移动：利用被攻陷的服务器作为立足点，攻击公司内部网络。
• 中断服务：使服务台离线或删除关键支持数据。

所有 FreeScout 版本 1.8.206 的安装都存在漏洞，特别是那些在启用了 AllowOverride All 的 Apache 服务器上运行的 FreeScout。

FreeScout 团队发布了一项关键的安全更新，通过重新调整清理流程来解决 TOCTOU 漏洞。新版本确保在系统检查诸如点前缀之类的危险模式之前，所有不可见字符和控制字符都会被移除。

如果您是 FreeScout 管理员，我们强烈建议您立即升级到 1.8.207 版本，以保护您的数据和基础架构。

参考链接：

https://github.com/freescout-help-desk/freescout/security/advisories/GHSA-5gpc-65p8-ffwp

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《CVSS 10.0 FreeScout 中的未经身份验证的远程代码执行（公开概念验证）》