- SmarterMail исправил CVE-2025-52691, уязвимость RCE максимальной серьезности, которая позволяет загружать произвольные файлы без аутентификации.
- Эксплойт может позволить злоумышленникам развернуть веб-оболочки или вредоносное ПО, украсть данные и глубже проникнуть в сети.
- Подтвержденных случаев злоупотреблений пока нет, но непропатченные серверы останутся главными целями по мере появления подробностей об эксплойте.
Программное обеспечение корпоративного почтового сервера SmarterMail только что исправило уязвимость максимальной серьезности, которая позволяла злоумышленникам проводить атаки с удаленным выполнением кода (RCE).
В кратком сообщении по безопасности, опубликованном на веб-сайте Агентства кибербезопасности Сингапура (CSA), говорится, что SmarterTools (компания, стоящая за SmarterMail) выпустила патч для CVE-2025-52691.
Национальная база данных уязвимостей (NVD) не описывает уязвимость подробно, но утверждает, что успешная эксплуатация «может позволить неаутентифицированному злоумышленнику загружать произвольные файлы в любое место на почтовом сервере, потенциально обеспечивая удаленное выполнение кода».
Исправление доводит инструмент до сборки 9413, и администраторам рекомендуется выполнить обновление как можно скорее.
Захват серверов
Теоретически это означает, что без учетных данных и без взаимодействия с пользователем злоумышленник может отправить на сервер специально созданный запрос, который затем сервер принимает и сохраняет в своей файловой системе. Поскольку загрузка не проверяется должным образом, злоумышленник может поместить файлы в каталоги, где сервер их выполняет или загружает.
Это означает, что злоумышленники могли загрузить веб-оболочку, Вредоносное ПО или вредоносный скрипт, позволяющий получить полный контроль над почтовым сервером. Они могут украсть конфиденциальные данные, поддерживать постоянный доступ и даже использовать скомпрометированный сервер в качестве платформы для атак для более глубокого проникновения в сеть.
Кроме того, они могут использовать взломанные серверы для проведения фишинговых и спам-кампаний или просто нарушать доступность услуг.
Пока нет никаких доказательств того, что это действительно происходит. Сообщений о злоупотреблениях в реальной жизни не поступало, а Агентство кибербезопасности и безопасности инфраструктуры США (CISA) еще не включило его в свой каталог известных эксплуатируемых уязвимостей (KEV).
Однако тот факт, что выпущен патч, не означает, что атак не будет. Многие киберпреступники используют исправления для уведомления о существующих уязвимостях, а затем нацеливаются на организации, которые не устанавливают исправления своевременно (или вообще не устанавливают их).
Лучшая антивирусная программа на любой бюджет
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
