Вы ничего не нажимали, а хакеры уже забрали сервер целиком через символ, который никто не видит. Так работает 0-click в FreeScout
NewsMakerРазработчики FreeScout выпустили экстренное обновление после обнаружения способа обхода защиты.
OX Research в новом отчёте описала, как обычное письмо на служебный адрес может привести к захвату сервера. Специалисты обнаружили критическую уязвимость в системе поддержки FreeScout. Достаточно отправить одно специально подготовленное письмо. Никакая учётная запись не нужна, пользователь ничего не должен открывать или нажимать.
Проблема получила идентификатор CVE-2026-28289 (оценка CVSS 10). Ошибка позволяет удалённо выполнить произвольный код на сервере. Уязвимость закрыли в версии FreeScout 1.8.207. Все более ранние версии, включая 1.8.206, остаются уязвимыми.
Несколько дней назад стало известно о другой проблеме, которая позволяла выполнить код на сервере после входа в систему. Уязвимость получила номер CVE-2026-27636 (оценка CVSS 8.8). Разработчики выпустили исправление, однако проверка показала обход защиты. Более того, найденная цепочка атаки позволила полностью отказаться от входа в систему.
FreeScout представляет собой популярную систему обработки обращений пользователей и коллективных почтовых ящиков. Программа написана на языке PHP и работает на базе веб-платформы Laravel. Проект распространяется с открытым исходным кодом и часто используется как бесплатная альтернатива коммерческим сервисам поддержки. На GitHub репозиторий FreeScout набрал более 4 тыс. «звёзд». По данным поисковой системы Shodan , в интернете доступно около 1100 серверов с открытым доступом к системе.
OX Research в новом отчёте описала, как обычное письмо на служебный адрес может привести к захвату сервера. Специалисты обнаружили критическую уязвимость в системе поддержки FreeScout. Достаточно отправить одно специально подготовленное письмо. Никакая учётная запись не нужна, пользователь ничего не должен открывать или нажимать.
Проблема получила идентификатор CVE-2026-28289 (оценка CVSS 10). Ошибка позволяет удалённо выполнить произвольный код на сервере. Уязвимость закрыли в версии FreeScout 1.8.207. Все более ранние версии, включая 1.8.206, остаются уязвимыми.
Несколько дней назад стало известно о другой проблеме, которая позволяла выполнить код на сервере после входа в систему. Уязвимость получила номер CVE-2026-27636 (оценка CVSS 8.8). Разработчики выпустили исправление, однако проверка показала обход защиты. Более того, найденная цепочка атаки позволила полностью отказаться от входа в систему.
FreeScout представляет собой популярную систему обработки обращений пользователей и коллективных почтовых ящиков. Программа написана на языке PHP и работает на базе веб-платформы Laravel. Проект распространяется с открытым исходным кодом и часто используется как бесплатная альтернатива коммерческим сервисам поддержки. На GitHub репозиторий FreeScout набрал более 4 тыс. «звёзд». По данным поисковой системы Shodan , в интернете доступно около 1100 серверов с открытым доступом к системе.