L’Agenzia di Sicurezza Cibernetica di Singapore (CSA) ha emesso un bollettino di avvertimento per una vulnerabilità di massima gravità nel software di posta elettronica SmarterMail di SmarterTools, che potrebbe essere sfruttata per eseguire codice remoto. La vulnerabilità, tracciata come CVE-2025-52691, ha un punteggio CVSS di 10,0 e si riferisce a un caso di caricamento di file arbitrario che potrebbe consentire l’esecuzione di codice senza richiedere alcuna autenticazione.
Dettagli della vulnerabilità
La vulnerabilità potrebbe consentire a un attaccante non autenticato di caricare file arbitrari in qualsiasi posizione sul server di posta, potenzialmente abilitando l’esecuzione di codice remoto. Le vulnerabilità di questo tipo consentono il caricamento di tipi di file pericolosi che vengono elaborati automaticamente all’interno dell’ambiente dell’applicazione. Ciò potrebbe aprire la strada all’esecuzione di codice se il file caricato viene interpretato e eseguito come codice, come nel caso dei file PHP.
Impatto e soluzione
La vulnerabilità colpisce le versioni di SmarterMail Build 9406 e precedenti ed è stata risolta nella versione Build 9413, rilasciata il 9 ottobre 2025. L’CSA ha accreditato Chua Meng Han del Centre for Strategic Infocomm Technologies (CSIT) per aver scoperto e segnalato la vulnerabilità. Si consiglia agli utenti di aggiornare alla versione più recente (Build 9483, rilasciata il 18 dicembre 2025) per una protezione ottimale. La vulnerabilità potrebbe essere sfruttata da un attore malintenzionato per collocare binari o shell web dannosi che potrebbero essere eseguiti con gli stessi privilegi del servizio SmarterMail.
