文章总结： 文档揭示了FreeScout中的严重零点击RCE漏洞CVE-2026-28289，CVSS评分10分，这是对CVE-2026-27636的补丁绕过。攻击者通过零宽字符绕过文件名清理机制，上传恶意.htaccess文件实现RCE。影响Apache环境下1.8.206版本，建议立即更新至1.8.207修复。 综合评分： 83 文章分类： 漏洞分析,漏洞预警,WEB安全

FreeScout 严重漏洞可导致服务器遭完全接管

Ionut Arghire Ionut Arghire

代码卫士

2026年3月5日 17:42 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Ox Security公司提醒称，开源帮助台、共享邮箱解决方案 FreeScout 中存在一个严重漏洞CVE-2026-28289（CVSS评分10分），可用于零点击远程代码执行攻击中。该漏洞是对近期已修复高危认证RCE漏洞CVE-2026-27636的补丁绕过。

CVE-2026-27636是因为文件上传限制列表中缺少 .htaccess 造成的，可导致经身份验证的攻击者上传 .htaccess 文件，篡改文件处理并实现RCE。研究人员发现，该漏洞的补丁可通过一个零宽字符绕过，而该字符不可见且能通过点号检测，导致一个有效的.htaccess文件名被保存到磁盘。

FreeScout 的维护人员提到，CVE-2026-28289是一个位于文件名清理函数中的TOCTOU问题，“其中点号前缀检查发生在清理移除不可见字符之前”。CVE-2026-27636的修复方案试图通过向文件扩展名添加下划线来拦截拥有已限制文件扩展或以句点开头的文件名。

要绕过补丁，攻击者在文件名前添加一个零宽空格字符 (Unicode U+2008)。由于该字符不被视为可见内容，文件名得以通过验证，随后U+200B字符被剥离，文件被保存为真正的点文件。研究人员解释道：“该攻击的原理是从任意地址向FreeScout中配置的邮箱发送恶意邮件。需要注意的是，这既不需要身份验证，也不需要用户交互。恶意负载会被写入FreeScout服务器的磁盘，随后可被利用来远程执行命令。”攻击者可以预测文件将被保存到磁盘的哪个位置，从而能够访问负载并在服务器上执行命令。成功利用该漏洞可使攻击者完全控制易受攻击的服务器，从FreeScout中窃取帮助台工单、邮箱内容及其他敏感数据，并可能横向移动到网络上的其它系统。

FreeScout维护者解释道：”所有在启用了AllowOverride All（一种常见配置）的Apache上运行的FreeScout 1.8.206版本均受影响。FreeScout 1.8.207版本已修复该漏洞。建议用户尽快更新部署。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

SolarWinds Serv-U 多个严重漏洞可用于提供服务器root权限

Anthropic MCP Git 服务器漏洞可用于访问文件和执行代码

Cloudflare 修复可绕过 WAF 访问源服务器的 ACM 验证漏洞

React Router严重漏洞可用于访问或修改服务器文件

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

原文链接

https://www.securityweek.com/critical-freescout-vulnerability-leads-to-full-server-compromise/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ionut Arghire Ionut Arghire《FreeScout 严重漏洞可导致服务器遭完全接管》