Source: OX Security (OX Research). Contexte: les chercheurs dévoilent une vulnérabilité critique dans FreeScout convertissant une RCE authentifiée récemment corrigée en RCE non authentifiée et zero‑click, affectant toutes les versions jusqu’à 1.8.206 et corrigée en v1.8.207.

🚨 Vulnérabilité: CVE‑2026‑28289 (Remote Code Execution, non authentifiée, zero‑click, sévérité critique). Un simple email spécialement conçu, envoyé à une adresse gérée par FreeScout, permet l’exécution de code sur le serveur sans authentification ni interaction utilisateur. La faille résulte d’un contournement du correctif précédent (lié à CVE‑2026‑27636) via une faille de validation de nom de fichier.

Détails techniques: le correctif antérieur ajoutait un trait de soulignement aux fichiers à extension restreinte ou commençant par un point. Les chercheurs montrent un contournement en préfixant le nom de fichier avec l’espace insécable de largeur nulle (Unicode U+200B), invisible lors du premier contrôle. Plus tard dans le traitement, ce caractère est supprimé, enregistrant le fichier comme dotfile malgré la validation initiale. Le payload malveillant est écrit sur le disque (dans un chemin prévisible comme «/storage/attachment/…») puis accessible via l’interface web, permettant l’exécution de commandes à distance.

Impact:

  • Prise de contrôle complète du serveur/système
  • Exfiltration de données (tickets d’assistance, contenus de boîtes partagées et données sensibles stockées dans FreeScout)
  • Mouvements latéraux depuis l’hôte FreeScout

Correctifs et actions recommandées:

  • 🛠️ Mettre à jour FreeScout en v1.8.207 ou ultérieure
  • 🔧 Désactiver Always AllowOverrideAll dans la configuration Apache du serveur FreeScout, y compris sur la version corrigée

TTPs observés:

  • Zero‑click via email: dépôt de pièce jointe malveillante sans interaction
  • Bypass de validation de nom de fichier via Unicode U+200B pour contourner le blocage des dotfiles
  • Écriture du payload dans un répertoire d’attachments à chemin prédictible puis accès via l’interface web pour exécution
  • Contournement rapide de correctif (diff de patch, recherche de variantes)

Type d’article: publication de recherche visant à divulguer la vulnérabilité, détailler la chaîne d’exploitation et annoncer la disponibilité du correctif.

🧠 TTPs et IOCs détectés

TTP

Zero-click via email, Bypass de validation de nom de fichier via Unicode U+200B, Écriture du payload dans un répertoire d’attachments à chemin prédictible, Accès via l’interface web pour exécution, Contournement rapide de correctif

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://www.ox.security/blog/freescout-rce-cve-2026-28289/