開源幫助台平台 FreeScout 中新發現的漏洞 (CVE-2026-28289) 可能允許攻擊者透過向 FreeScout 郵箱發送特製的電子郵件來接管易受攻擊的伺服器。FreeScout 是一個免費的開源幫助台和共享收件匣系統，企業或團隊可以使用它在一個地方管理客戶支援對話。它採用 PHP（Laravel）和 MySQL 構建，設計為可自行託管——無論是在本地、雲端伺服器還是虛擬專用伺服器上。

CVE-2026-28289 是繞過 CVE-2026-27636 修補程式的漏洞，該漏洞已在 FreeScout v1.8.206 中修復，原因是其檔案上傳限制清單不包括.htaccess或.user.ini檔案。

OX Security 的研究人員發現，CVE-2026-27636 的修復程式試圖透過在檔案名稱使用受限副檔名或以句點 ('.') 開頭時，在檔案副檔名後附加下劃線來阻止危險的檔案上傳。如果您使用 FreeScout 來滿足您的服務台需求，並且在 Apache 伺服器上執行實例，並且您自上週以來還沒有更新您的實例，那麼您應該立即升級到 v1.8.207。

資料來源：https://www.helpnetsecurity.com/2026/03/05/freescout-vulnerability-cve-2026-28289/