FreeScout 服務台平台存在最高等級的漏洞，駭客無需任何使用者互動或驗證即可實現遠端程式碼執行。該漏洞被追蹤為 CVE-2026-28289 ，它繞過了針對另一個遠端程式碼執行 (RCE) 安全性問題 ( CVE-2026-27636 ) 的修復，該問題可能被具有上傳權限的已認證用戶利用。

OX Security 是一家從程式碼到執行時間保護應用程式的公司，其研究人員表示，攻擊者可以透過「向 FreeScout 中配置的任何位址發送一封精心建構的電子郵件」來利用這項新漏洞。

FreeScout 是一個開源的幫助台和共享郵箱平台，供企業用於管理客戶支援郵件和工單。它是 Zendesk 或 Help Scout 的自架替代方案。該專案的GitHub 倉庫擁有 4,100 個星標和 620 多個分支，OX Research 報告稱，其 Shodan 掃描返回了 1,100 個公開暴露的實例，表明這是一個廣泛使用的解決方案。

CVE-2026-28289 影響所有 FreeScout 版本，包括 1.8.206 及更早版本，該漏洞已在四天前發布的 1.8.207 版本中修復。FreeScout團隊警告稱，成功利用CVE-2026-28289漏洞可能導致伺服器完全被攻陷、資料外洩、橫向入侵內部網路以及服務中斷。因此，建議立即進行補丁修復。

OX Research建議停用 FreeScout 伺服器上 Apache 設定中的“AllowOverrideAll”，即使版本為 1.8.207 也是如此。

原文連結：https://www.bleepingcomputer.com/news/security/mail2shell-zero-click-attack-lets-hackers-hijack-freescout-mail-servers/