Mail2Shell: Kritická zranitelnost ohrožuje poštovní servery FreeScout

Co je Mail2Shell?

Mail2Shell je název pro kritickou zranitelnost s označením CVE-2026-28289, která byla objevena ve platformě FreeScout. FreeScout je opensourcová platforma sloužící k řízení zákaznické podpory prostřednictvím e-mailů. Tato chyba umožňuje útočníkům spustit vzdáleně kód na serveru bez jakékoliv interakce ze strany uživatelů či nutnosti ověření.

Jak se zranitelnost projevuje?

Výzkumníci z OX Security zjistili, že zranitelnost lze zneužít jednoduše zasláním speciálně upraveného e-mailu na adresu konfigurovanou v rámci FreeScout. E-mail obsahuje přílohy, jejichž názvy byly obohaceny o tzv. zero-width space (Unicode U+200B), což umožňuje obejít bezpečnostní opatření zaměřená na kontrolu nebezpečných souborů.

Důsledky a doporučení

Je zjištěno, že tato zranitelnost může vést k úplnému kompromitování serveru, úniku dat a narušení služeb. Tým FreeScout vydal opravný balíček ve verzi 1.8.207, který tuto chybu řeší. Dále experti doporučují deaktivovat funkci `AllowOverrideAll` v nastavení Apache serveru, aby se minimalizovala rizika budoucích zneužití.

Rozsah ohrožení

Projekt FreeScout je široce používán, což dokazuje přes 1100 veřejně dostupných instancí podle skenů platformy Shodan. Na GitHubu si získal více než 4100 hvězdiček a je očividně populární alternativou k placeným řešením jako Zendesk nebo Help Scout.

Bezpečnostní upozornění

Zatím nebylo zaznamenáno aktivní zneužití této zranitelnosti, nicméně experti varují, že vzhledem k vážnosti chyby mohou být útoky spuštěny velmi brzy. Proto je nasazení nejnovější aktualizace zásadní pro zajištění bezpečnosti.

Závěr

Zranitelnosti jako Mail2Shell podtrhují důležitost neustálé bezpečnostní ostražitosti a pravidelné aktualizace softwaru. V době, kdy digitální infrastruktura zažívá narůstající počet kyberútoků, je kriticky důležité, aby organizace jednaly proaktivně a chránily své systémy před potenciálním kompromitováním.