Agencja ds. Cyberbezpieczeństwa Singapuru (Cyber Security Agency of Singapore, CSA) wydała komunikat o krytycznej podatności w oprogramowaniu pocztowym SmarterMail firmy SmarterTools, która może pozwolić na zdalne wykonanie kodu. Błąd został sklasyfikowany jako maksymalnego stopnia zagrożenia — otrzymał identyfikator CVE-2025-52691 i ocenę CVSS równą 10.0.
Na czym polega problem? Chodzi o lukę umożliwiającą dowolne przesyłanie plików (arbitrary file upload) bez uwierzytelniania. Według CSA „pomyślne wykorzystanie podatności mogłoby pozwolić nieuwierzytelnionemu atakującemu na przesłanie dowolnych plików w dowolne miejsce na serwerze pocztowym, co potencjalnie umożliwi zdalne wykonanie kodu”. Tego typu podatności są szczególnie niebezpieczne, gdy aplikacja automatycznie interpretuje lub przetwarza przesłane pliki — na przykład pliki PHP — ponieważ wówczas przesłany plik może zostać uruchomiony jako kod.
W scenariuszu ataku napastnik mógłby umieścić złośliwe binaria lub webshele, które zostaną wykonane z uprawnieniami usługi SmarterMail. To z kolei daje atakującemu możliwość przejęcia kontroli nad serwerem pocztowym, eskalacji przywilejów lub dalszego rozprzestrzeniania się w infrastrukturze.
SmarterMail to rozwiązanie do obsługi poczty i współpracy wykorzystywane jako alternatywa dla rozwiązań typu Microsoft Exchange — oferuje zabezpieczoną pocztę, współdzielone kalendarze oraz komunikatory. Na stronie producenta wymieniono, że SmarterMail jest wykorzystywany m.in. przez dostawców hostingu takich jak ASPnix Web Hosting, Hostek i simplehosting.ch.
Podatność CVE-2025-52691 dotyczy wersji SmarterMail oznaczonych jako Build 9406 i wcześniejszych. Producent załatał problem w wydaniu Build 9413, które ukazało się 9 października 2025 r. Mimo braku informacji o wykorzystaniu tej luki w warunkach rzeczywistych, CSA zaleca jednak aktualizację do najnowszej wersji — Build 9483 — wydanej 18 grudnia 2025 r., aby zapewnić optymalną ochronę.
Odkrywcą i zgłaszającym podatność jest Chua Meng Han z Centre for Strategic Infocomm Technologies (CSIT); CSA przypisała mu autorstwo zgłoszenia. Użytkownikom SmarterMail zaleca się jak najszybszą aktualizację serwerów do wskazanej wersji oraz weryfikację środowiska pod kątem nietypowych plików lub śladów prób wykorzystania luki.