freescout'ta sıfır-tık rce açığı - mail2shell saldırısı

Posted on 5 Mar 2026

arkadaşlar, freescout diye bir helpdesk yazılımı var, bilirsiniz belki. işte bu yazılımda maksimum seviye (cvss 10.0) bir açık bulunmuş ve adı da mail2shell. spoiler: hiçbir tıklama, hiçbir kullanıcı etkileşimi gerekmeden uzaktan kod çalıştırma (rce) yapılabiliyor. yani sıfır-tık saldırı denen bela.

ne oluyor peki

CVE-2025-24090 numaralı bu zafiyet, freescout’un e-posta işleme mekanizmasında bulunmuş. şöyle ki, saldırgan sunucuya özel hazırlanmış bir e-posta gönderiyor ve sistem bu e-postayı işlerken kod çalıştırmaya izin veriyor. kimlik doğrulama yok, kullanıcı etkileşimi yok, sadece bir e-posta yeterli.

kritik seviye bu, yani 10.0 cvss skoru. daha kötüsü olamaz zaten.

teknik detaylar

mail2shell saldırısı şu şekilde çalışıyor:

  • saldırgan, freescout sunucusuna zararlı bir e-posta gönderiyor
  • e-posta işlenirken, eklentiler veya başlıklar üzerinden kod enjekte ediliyor
  • sunucu bu kodu çalıştırıyor ve saldırgan sisteme erişim sağlıyor
  • artık saldırgan sunucuda istediği komutu çalıştırabiliyor

saldırı vektörü: network (uzaktan) kullanıcı etkileşimi: none (hiç yok) yetki gereksinimi: none (hiç yok) etki: confidentiality, integrity, availability - hepsi yüksek

yani tam anlamıyla felaketin tarifi.

etkilenen sistemler

Sistem/VersiyonDurum
FreeScout < 1.8.177🔴 Kritik seviyede etkileniyor
FreeScout >= 1.8.177✅ Yamalı, güvenli

ne yapmalısınız - acil

agalar, freescout kullanıyorsanız hemen şunu yapın:

# 1. mevcut versiyonu kontrol edin
cd /path/to/freescout
php artisan --version

# 2. yedek alın (mutlaka!)
tar -czf freescout-backup-$(date +%Y%m%d).tar.gz /path/to/freescout
mysqldump -u kullanici -p veritabani > freescout-db-backup-$(date +%Y%m%d).sql

# 3. güncellemeyi yapın
git fetch --all
git checkout v1.8.177
composer install --no-dev
php artisan freescout:after-app-update

# 4. cache'leri temizleyin
php artisan cache:clear
php artisan config:clear
php artisan route:clear

dikkat: önce test ortamında deneyin bu işlemleri. production’a direkt atmayın, sonra başka sorunlar çıkarsa bana sormayın.

geçici çözüm (yamayı hemen uygulayamayanlar için)

eğer hemen güncelleyemiyorsanız (ki güncellemeniz lazım ama):

  1. e-posta alımını geçici olarak durdurun:
# cron job'ları devre dışı bırakın
crontab -e
# freescout ile ilgili satırları yorum satırı yapın
  1. firewall kuralları ekleyin:
# sadece bilinen ip'lerden smtp bağlantısı kabul edin
iptables -A INPUT -p tcp --dport 25 -s güvenilir_ip -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j DROP
  1. web application firewall (waf) kuralları:
  • e-posta eklerini geçici olarak bloklayin
  • şüpheli başlıkları filtreleyin

ama bunlar geçici çözüm, kalıcı çözüm güncelleme yapmak. acil yapın bunu.

ek bilgiler

edit: bu açık henüz aktif olarak sömürülmüyor gibi görünüyor ama maksimum seviye olduğu için çok hızlı exploit’ler çıkabilir. beklemeden yamalayın.

edit 2: freescout açık kaynaklı bir yazılım ve zendesk/freshdesk alternatifi olarak kullanılıyor. eğer müşteri destek sisteminiz buysa, öncelik verin bu yamaya.

kontrol listesi

  • freescout versiyonunu kontrol ettiniz mi?
  • yedek aldınız mı? (hem dosya hem veritabanı)
  • test ortamında güncellemeyi denediniz mi?
  • production’a güncellemeyi uyguladınız mı?
  • servisler düzgün çalışıyor mu?
  • logları kontrol ettiniz mi? (şüpheli e-postalar var mı diye)

log kontrolü

şüpheli aktivite olup olmadığını kontrol edin:

# freescout loglarını inceleyin
tail -f /path/to/freescout/storage/logs/laravel.log

# mail loglarını kontrol edin
tail -f /var/log/mail.log

# şüpheli e-posta başlıkları arayın
grep -i "content-type.*multipart" /var/log/mail.log

kaynaklar

arkadaşlar, bu ciddi bir açık. freescout kullanıyorsanız hemen harekete geçin. sıfır-tık saldırı demek, hiçbir şey yapmadan sisteminizin ele geçirilebileceği anlamına geliyor.

acil acil yamalayın, sonra ağlamayın.

bkz: zero-click vulnerabilities bkz: helpdesk security

Bu içerik yapay zeka tarafından oluşturulmuştur.