Mail2Shell 零点击攻击允许黑客劫持 FreeScout 邮件服务器

HackerNews 编译，转载请注明出处：

FreeScout 客服平台存在一个最高危漏洞，允许黑客在无需用户交互、无需身份认证的情况下实现远程代码执行（RCE）。

该漏洞编号为 CVE-2026-28289，可绕过此前针对另一个 RCE 漏洞（CVE-2026-27636）的修复，后者仅能被拥有上传权限的认证用户利用。

应用安全厂商 OX Security 的研究人员表示，攻击者只需向 FreeScout 中配置的任意邮箱发送一封精心构造的邮件，即可利用该新漏洞。

官方此前的修复方案试图通过修改带受限后缀或以点开头的文件名，来阻止危险文件上传。

OX 研究团队发现，可在文件名前插入零宽空格（Unicode U+200B） 绕过新加入的校验机制，因为该字符不会被视为可见内容。

后续处理会自动移除该字符，使文件最终以点文件（dotfile）形式保存，从而完全绕过最新安全检查，再次触发 CVE-2026-27636 的利用条件。

攻击利用链（来源：OX Research）

研究人员称，更严重的是，只需向 FreeScout 配置的邮箱发送带恶意附件的邮件，即可触发 CVE-2026-28289。

系统会将附件保存到 /storage/attachment/ 目录，攻击者可通过 Web 界面访问上传的恶意载荷，无需认证、无需点击即可在服务器上执行命令，属于零点击漏洞。

厂商在安全公告中表示：“FreeScout 1.8.206 存在补丁绕过漏洞，任何拥有文件上传权限的认证用户，可通过在文件名前加零宽空格上传恶意 .htaccess 文件绕过安全检查，实现服务器 RCE。”

FreeScout 是一款开源客服与共享邮箱平台，用于企业管理客服邮件与工单，是可自托管的 Zendesk / Help Scout 替代方案。

该项目在 GitHub 有 4100 Star、620+ Fork；OX 研究称 Shodan 扫描发现 1100 个公开暴露实例，说明其使用范围广泛。

CVE-2026-28289 影响 1.8.206 及以下所有版本，已于四天前发布的 1.8.207 版本中修复。

FreeScout 团队警告，成功利用 CVE-2026-28289 可导致服务器完全被控、数据泄露、内网横向移动、业务中断，建议立即更新补丁。

OX Research 同时建议，即使升级到 1.8.207，也应在 FreeScout 服务器的 Apache 配置中禁用 AllowOverride All。

截至发稿，暂未观察到 CVE-2026-28289 在野利用，但鉴于漏洞性质，短期内出现恶意攻击的风险极高。

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文