No hiciste clic y, aun así, los hackers se llevaron el servidor entero mediante un carácter invisible: así funciona el ataque 0‑click en FreeScou
Los desarrolladores de FreeScout lanzaron una actualización de emergencia tras detectarse una forma de eludir sus medidas de seguridad.
OX Research, en nuevo informe, describió cómo un correo ordinario enviado a una dirección de servicio puede conducir a la toma del servidor. Los especialistas encontraron una vulnerabilidad crítica en el sistema de soporte FreeScout. Basta con enviar un solo correo especialmente preparado. No se necesita ninguna cuenta, el usuario no tiene que abrir ni pulsar nada.
El problema recibió el identificador CVE-2026-28289 (puntuación CVSS 10). El error permite ejecutar de forma remota código arbitrario en el servidor. La vulnerabilidad se corrigió en la versión FreeScout 1.8.207. Todas las versiones anteriores, incluida la 1.8.206, siguen siendo vulnerables.
Hace unos días se dio a conocer otro problema que permitía ejecutar código en el servidor tras iniciar sesión. La vulnerabilidad recibió el número CVE-2026-27636 (puntuación CVSS 8.8). Los desarrolladores publicaron un parche, sin embargo la verificación mostró un bypass de la protección. Además, la cadena de ataque encontrada permitió omitir por completo el inicio de sesión.
FreeScout es un sistema popular para el manejo de solicitudes de usuarios y buzones de correo compartidos. La aplicación está escrita en PHP y se ejecuta sobre la plataforma web Laravel. El proyecto se distribuye con código abierto y a menudo se utiliza como alternativa gratuita a servicios comerciales de soporte. En GitHub el repositorio de FreeScout ha obtenido más de 4 mil "estrellas". Según el motor de búsqueda Shodan, hay alrededor de 1100 servidores con acceso abierto al sistema en Internet.
El problema está relacionado con la validación del nombre del archivo cargado. La corrección de la vulnerabilidad anterior añadía un guion bajo a las extensiones peligrosas y a los archivos cuyo nombre comenzaba por punto. Ese enfoque debía bloquear la subida de archivos ocultos. La comprobación resultó incompleta.
Los especialistas descubrieron un bypass que utiliza el carácter Unicode invisible U+200B, conocido como espacio de ancho cero. Si se añade ese carácter antes del punto al inicio del nombre del archivo, la comprobación deja pasar el archivo como seguro. En la siguiente fase de procesamiento el sistema elimina el carácter invisible y guarda el archivo ya como un archivo oculto normal. De este modo el archivo malicioso pasa la comprobación y acaba en el servidor.
El ataque posterior se realiza por correo. El atacante envía un mensaje a cualquier dirección vinculada a FreeScout. En el correo hay un adjunto malicioso. El sistema acepta automáticamente el mensaje, guarda el archivo en el directorio storage/attachment y hace que el archivo esté disponible a través de la interfaz web. Conociendo la ruta al archivo, el atacante abre el adjunto y obtiene la posibilidad de ejecutar comandos en el servidor.
Un ataque exitoso permite tomar completamente el servidor, robar la correspondencia del servicio de soporte, el contenido de los buzones y otros datos confidenciales. Tras la compromisión del servidor, el atacante puede intentar acceder también a otros sistemas dentro de la misma red.
Los desarrolladores de FreeScout publicaron un parche y corrigieron la vulnerabilidad en la versión 1.8.207. A los administradores se les recomienda actualizar el sistema con urgencia. Además, se aconseja desactivar el parámetro AllowOverrideAll en la configuración del servidor web Apache en el servidor FreeScout. Esta medida reduce el riesgo de explotación incluso después de instalar la actualización.