CRITICAL🇬🇧 English

CVE-2026-28289

FreeScout: bypass zabezpieczeń uploadu pliku prowadzący do RCE

CVSS 10.0v3.1pub. 2026-03-03upd. 2026-03-11

Podatność w FreeScout 1.8.206 i wcześniejszych pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do przesyłania plików na wykonanie dowolnego kodu na serwerze (RCE). Jest to bypass wcześniejszej poprawki dla CVE-2026-27636, umożliwiający obejście zabezpieczeń poprzez przesłanie złośliwego pliku .htaccess ze znakiem niewidocznej spacji jako prefiksem nazwy.

Pokaż oryginał (EN)

FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. A patch bypass vulnerability for CVE-2026-27636 in FreeScout 1.8.206 and earlier allows any authenticated user with file upload permissions to achieve Remote Code Execution (RCE) on the server by uploading a malicious .htaccess file using a zero-width space character prefix to bypass the security check. The vulnerability exists in the sanitizeUploadedFileName() function in app/Http/Helper.php. The function contains a Time-of-Check to Time-of-Use (TOCTOU) flaw where the dot-prefix check occurs before sanitization removes invisible characters. This vulnerability is fixed in 1.8.207.

🤖 Analiza AI
Jak działa

Podatność tkwi w funkcji sanitizeUploadedFileName() w pliku app/Http/Helper.php. Funkcja zawiera błąd klasy Time-of-Check to Time-of-Use (TOCTOU): sprawdzenie prefiksu kropkowego w nazwie pliku (mające wykryć pliki konfiguracyjne takie jak .htaccess) następuje przed etapem sanityzacji, który usuwa niewidoczne znaki (m.in. znak zero-width space). Atakujący przesyła plik o nazwie zawierającej znak zero-width space przed '.htaccess', co powoduje, że weryfikacja bezpieczeństwa nie rozpoznaje go jako pliku konfiguracyjnego, natomiast po zapisaniu na dysku serwer Apache interpretuje go jako plik .htaccess. Umożliwia to wprowadzenie złośliwych dyrektyw i wykonanie kodu po stronie serwera.

Skutki

Atakujący może uzyskać pełną zdalną kontrolę nad serwerem (RCE), co może prowadzić do ujawnienia, modyfikacji lub zniszczenia danych oraz do dalszego ruchu bocznego (lateral movement) w infrastrukturze.

Mitygacja

Należy zaktualizować FreeScout do wersji 1.8.207, w której podatność została naprawiona. Poprawka dostępna jest w repozytorium producenta (commit f7bc16c). Do czasu aktualizacji zaleca się ograniczenie uprawnień do przesyłania plików wyłącznie do zaufanych użytkowników.

Kogo dotyczy

FreeScout w wersji 1.8.206 i wcześniejszych — dotyczy instancji, w których co najmniej jeden użytkownik posiada uprawnienia do przesyłania plików.

Uwagi

Podatność stanowi bypass wcześniejszej poprawki dla CVE-2026-27636. Szczegółowy opis techniczny dostępny jest w publikacji ox.security. Poprawka została wprowadzona w wersji 1.8.207.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Freescout

    APP
    Freescout
    < 1.8.207
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCERace Condition
CWE
Referencje

Powiązane podatności

CVE-2026-32754CRITICAL9.3PL ✓ten sam produkt

FreeScout: Stored XSS w szablonach powiadomień e-mail umożliwia przejęcie kont

CVE-2026-27637CRITICAL9.8PL ✓ten sam produkt

FreeScout: przewidywalny token uwierzytelniający umożliwia przejęcie konta

CVE-2024-29185CRITICAL9.0PL ✓ten sam produkt

FreeScout: OS Command Injection umożliwiający przejęcie serwera

CVE-2026-40496HIGH8.8ten sam produkt

FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.213, attachment download to...

CVE-2026-40497HIGH8.1ten sam produkt

FreeScout is a free self-hosted help desk and shared mailbox. Prior to version 1.8.213, FreeScout's `Helper::s...