FreeScout: Zero‑click RCE non authentifié (CVE‑2026‑28289) corrigé en v1.8.207
Source: OX Security (OX Research). Contexte: les chercheurs dévoilent une vulnérabilité critique dans FreeScout convertissant une RCE authentifiée récemment corrigée en RCE non authentifiée et zero‑click, affectant toutes les versions jusqu’à 1.8.206 et corrigée en v1.8.207. 🚨 Vulnérabilité: CVE‑2026‑28289 (Remote Code Execution, non authentifiée, zero‑click, sévérité critique). Un simple email spécialement conçu, envoyé à une adresse gérée par FreeScout, permet l’exécution de code sur le serveur sans authentification ni interaction utilisateur. La faille résulte d’un contournement du correctif précédent (lié à CVE‑2026‑27636) via une faille de validation de nom de fichier. ...