Nowa luka Mail2Shell: zagrożenie dla serwerów pocztowych FreeScout

Zagrożenie dla serwerów FreeScout

Nowo odkryta luka o sygnaturze CVE-2026-28289 stwarza poważne zagrożenie dla użytkowników platformy FreeScout, pozwalając napastnikom na zdalne wykonanie kodu na serwerze bez konieczności interakcji czy uwierzytelnienia ze strony użytkownika. Badacze z OX Security wykazali, że atak można przeprowadzić, wysyłając jedno spreparowane e-mail na adres skonfigurowany w systemie FreeScout.

Działanie luki

Na skutek nieodpowiednio zaimplementowanego mechanizmu weryfikacji, możliwe jest przesłanie złośliwego pliku z użyciem spacji o zerowej szerokości (Unicode U+200B) przed nazwą pliku. Taki plik pomija obecną walidację, co pozwala na wyzyskanie wcześniejszej luki CVE-2026-27636.

Potencjalne szkody

FreeScout, będący alternatywą open-source dla Zendesk czy Help Scout, jest szeroko stosowany, na co wskazuje ponad 1100 publicznie dostępnych instancji według OX Research. Eksploatacja CVE-2026-28289 może prowadzić do całkowitego skompromitowania serwera, wycieku danych oraz przenikania do wewnętrznych sieci organizacji.

Jak się bronić?

FreeScout wydał łatkę (wersja 1.8.207) zaledwie cztery dni po odkryciu luki, zalecając jej natychmiastowe zastosowanie. Ponadto, OX Research sugeruje wyłączenie opcji 'AllowOverrideAll' w konfiguracji Apache, aby jeszcze bardziej zabezpieczyć serwery przed możliwymi atakami.

Wzmożona czujność

Choć jak dotąd nie zaobserwowano aktywnych przypadków wykorzystania tej luki, jej charakter wskazuje na wysokie ryzyko wystąpienia działań złośliwych w niedalekiej przyszłości. Właściciele serwerów FreeScout powinni być szczególnie czujni, aby zapobiec możliwym incydentom bezpieczeństwa.

Wnioski

Odkrycie tej luki uwypukla potrzebę stałej aktualizacji i monitoringu zabezpieczeń w systemach open-source, takich jak FreeScout. W dobie coraz bardziej zaawansowanych zagrożeń sieciowych, proaktywne podejście do bezpieczeństwa jest kluczowe dla ochrony danych i zasobów cyfrowych.