La Autoridad de Seguridad Cibernética de Singapur (CSA) emitió un boletín advirtiendo sobre una falla de seguridad de máxima gravedad en el software de correo electrónico SmarterTools SmarterMail que podría explotarse para conducir a la ejecución remota de código.
Esta vulnerabilidad se rastrea como CVE-2025-52691 y tiene una puntuación CVSS de 10,0. Esto es relevante en el caso de cargas de archivos arbitrarios que permiten la ejecución de código sin requerir autenticación.
«La explotación exitosa de esta vulnerabilidad podría permitir que un atacante no autenticado cargue archivos arbitrarios en ubicaciones arbitrarias en el servidor de correo, lo que podría conducir a la ejecución remota de código», dijo CSA.
Este tipo de vulnerabilidad podría permitir que se carguen tipos de archivos peligrosos que se procesan automáticamente dentro del entorno de la aplicación. Esto podría allanar el camino para la ejecución de código si el archivo cargado se interpreta como código y se ejecuta, como es el caso de los archivos PHP.
En un escenario de ataque hipotético, un atacante malintencionado podría aprovechar esta vulnerabilidad para implementar un shell web o binario malicioso que pueda ejecutarse con los mismos privilegios que el servicio SmarterMail.
SmarterMail proporciona correo electrónico seguro, calendarios compartidos, mensajería instantánea y otras funciones como alternativa a las soluciones de colaboración empresarial como Microsoft Exchange. Según la información proporcionada en el sitio web, lo utilizan proveedores de alojamiento web como ASPnix Web Hosting, Hostek y simplehosting.ch.
CVE-2025-52691 afecta a las versiones de SmarterMail, compilación 9406 y anteriores. Este problema se resolvió en la compilación 9413, publicada el 9 de octubre de 2025.
CSA le da crédito a Chua Meng Han del Centro de Tecnología de la Información y las Comunicaciones Estratégicas (CSIT) por descubrir e informar la vulnerabilidad.
El aviso no menciona que se esté explotando esta falla, pero recomienda que los usuarios actualicen a la última versión (compilación 9483, lanzada el 18 de diciembre de 2025) para una protección óptima.
Source link
