Celah “Mail2Shell” di FreeScout Memungkinkan RCE Tanpa Klik
Kerentanan tingkat maksimum pada platform helpdesk open-source FreeScout memungkinkan peretas menjalankan kode jarak jauh (RCE) tanpa autentikasi maupun interaksi pengguna.
Celah yang dilacak sebagai CVE-2026-28289 ini disebut sebagai serangan “Mail2Shell” karena dapat dieksploitasi hanya dengan mengirim satu email berbahaya ke alamat yang dikonfigurasi di FreeScout.
Bypass Patch Sebelumnya
Menurut peneliti dari OX Security, CVE-2026-28289 merupakan bypass terhadap perbaikan celah RCE sebelumnya, yakni CVE-2026-27636, yang awalnya hanya dapat dieksploitasi oleh pengguna terautentikasi dengan izin unggah file.
Patch terdahulu mencoba memblokir unggahan file berbahaya dengan memodifikasi nama file yang memiliki ekstensi terlarang atau diawali tanda titik (dotfile).
Namun, peneliti menemukan bahwa karakter zero-width space (Unicode U+200B) dapat disisipkan sebelum nama file. Karena karakter ini tidak terlihat, mekanisme validasi tidak mendeteksinya sebagai ancaman.
Pada tahap pemrosesan selanjutnya, karakter tersebut dihapus, sehingga file akhirnya tersimpan sebagai dotfile dan kembali membuka jalur eksploitasi RCE—secara efektif melewati mekanisme keamanan terbaru.
Zero-Click Lewat Lampiran Email
Yang membuat CVE-2026-28289 lebih berbahaya adalah kemampuannya dipicu melalui lampiran email berbahaya yang dikirim ke mailbox yang terhubung dengan FreeScout.
Lampiran tersebut disimpan di direktori “/storage/attachment/…”, dan penyerang kemudian dapat mengakses payload melalui antarmuka web untuk mengeksekusi perintah di server—tanpa autentikasi atau tindakan dari pengguna.
Dengan kata lain, ini adalah kerentanan zero-click yang dapat mengarah pada kompromi penuh server.
Dampak dan Skala Paparan
FreeScout merupakan alternatif self-hosted untuk layanan seperti Zendesk atau Help Scout dan digunakan untuk mengelola email dukungan pelanggan serta tiket.
Repositori GitHub proyek ini memiliki ribuan pengguna dan fork, sementara pemindaian Shodan oleh OX Research menemukan sekitar 1.100 instance FreeScout yang terekspos secara publik.
CVE-2026-28289 memengaruhi seluruh versi hingga dan termasuk 1.8.206. Kerentanan telah ditambal pada versi 1.8.207 yang dirilis beberapa hari lalu.
Tim FreeScout memperingatkan bahwa eksploitasi berhasil dapat mengakibatkan kompromi penuh server, kebocoran data, pergerakan lateral ke jaringan internal, serta gangguan layanan.
Rekomendasi Mitigasi
Administrator sangat disarankan segera memperbarui FreeScout ke versi 1.8.207 atau lebih baru.
Selain itu, OX Research merekomendasikan untuk menonaktifkan opsi “AllowOverride All” dalam konfigurasi Apache pada server FreeScout, bahkan jika telah diperbarui, guna mengurangi risiko eksploitasi lebih lanjut.
Hingga saat ini belum ada bukti eksploitasi aktif di dunia nyata. Namun, mengingat sifat zero-click dan tingkat keparahan maksimum kerentanan ini, potensi penyalahgunaan dalam waktu dekat dinilai sangat tinggi.
