Агентство кибербезопасности Сингапура (CSA) выпустило экстренное предупреждение, касающееся критической бреши в системе безопасности программного обеспечения SmarterMail. Обнаруженная проблема классифицируется как уязвимость максимальной степени тяжести, получив наивысшую оценку 10.0 по шкале CVSS. Этот дефект ставит под угрозу конфиденциальность и целостность данных на серверах, использующих данное ПО.
Уязвимости присвоен официальный идентификатор CVE-2025-52691. Технически она представляет собой возможность произвольной загрузки файлов, что ведет к удаленному выполнению кода (RCE). Ключевой особенностью данного дефекта является отсутствие требований к аутентификации: злоумышленник может эксплуатировать уязвимость без необходимости входа в систему или наличия учетных данных.
Механизм атаки позволяет загружать опасные типы файлов, например скрипты PHP, в любое местоположение на почтовом сервере. После загрузки эти файлы автоматически обрабатываются внутри среды приложения. Система интерпретирует их и исполняет как программный код, что открывает злоумышленникам полный доступ к функционалу сервера.
Вредоносный код выполняется с теми же привилегиями, что и сама служба SmarterMail. Это позволяет атакующим развертывать вредоносные бинарные файлы или веб-оболочки (web shells), получая контроль над системой. Уровень доступа, предоставляемый этой уязвимостью, делает невозможным эффективное сдерживание атаки без установки соответствующих обновлений безопасности.
Программный продукт SmarterMail разрабатывается вендором SmarterTools и позиционируется на рынке как альтернатива Microsoft Exchange. Это ПО обеспечивает защищенную электронную почту, общие календари и мгновенный обмен сообщениями. Среди известных пользователей системы числятся такие хостинг-провайдеры, как ASPnix Web Hosting, Hostek и , чьи клиенты потенциально могли находиться в зоне риска.
Под угрозой находятся все версии SmarterMail вплоть до сборки Build 9406 включительно. Проблема была устранена в сборке Build 9413, которая вышла 9 октября 2025 года. Тем не менее, текущая рекомендация для администраторов заключается в обновлении до самой последней версии — Build 9483, выпущенной 18 декабря 2025 года.
Открытие данной уязвимости принадлежит исследователю Чуа Менг Хану (Chua Meng Han) из Центра стратегических инфокоммуникационных технологий (CSIT). Информация была передана и верифицирована через Агентство кибербезопасности Сингапура (CSA), которое и инициировало процесс оповещения общественности.
В официальном бюллетене безопасности на данный момент отсутствует упоминание о том, что уязвимость CVE-2025-52691 эксплуатировалась в реальных условиях («in the wild»). Несмотря на это, учитывая рейтинг CVSS 10.0 и простоту эксплуатации без аутентификации, обновление программного обеспечения является критически важной задачей для всех пользователей SmarterMail.
Изображение носит иллюстративный характер
Уязвимости присвоен официальный идентификатор CVE-2025-52691. Технически она представляет собой возможность произвольной загрузки файлов, что ведет к удаленному выполнению кода (RCE). Ключевой особенностью данного дефекта является отсутствие требований к аутентификации: злоумышленник может эксплуатировать уязвимость без необходимости входа в систему или наличия учетных данных.
Механизм атаки позволяет загружать опасные типы файлов, например скрипты PHP, в любое местоположение на почтовом сервере. После загрузки эти файлы автоматически обрабатываются внутри среды приложения. Система интерпретирует их и исполняет как программный код, что открывает злоумышленникам полный доступ к функционалу сервера.
Вредоносный код выполняется с теми же привилегиями, что и сама служба SmarterMail. Это позволяет атакующим развертывать вредоносные бинарные файлы или веб-оболочки (web shells), получая контроль над системой. Уровень доступа, предоставляемый этой уязвимостью, делает невозможным эффективное сдерживание атаки без установки соответствующих обновлений безопасности.
Программный продукт SmarterMail разрабатывается вендором SmarterTools и позиционируется на рынке как альтернатива Microsoft Exchange. Это ПО обеспечивает защищенную электронную почту, общие календари и мгновенный обмен сообщениями. Среди известных пользователей системы числятся такие хостинг-провайдеры, как ASPnix Web Hosting, Hostek и , чьи клиенты потенциально могли находиться в зоне риска.
Под угрозой находятся все версии SmarterMail вплоть до сборки Build 9406 включительно. Проблема была устранена в сборке Build 9413, которая вышла 9 октября 2025 года. Тем не менее, текущая рекомендация для администраторов заключается в обновлении до самой последней версии — Build 9483, выпущенной 18 декабря 2025 года.
Открытие данной уязвимости принадлежит исследователю Чуа Менг Хану (Chua Meng Han) из Центра стратегических инфокоммуникационных технологий (CSIT). Информация была передана и верифицирована через Агентство кибербезопасности Сингапура (CSA), которое и инициировало процесс оповещения общественности.
В официальном бюллетене безопасности на данный момент отсутствует упоминание о том, что уязвимость CVE-2025-52691 эксплуатировалась в реальных условиях («in the wild»). Несмотря на это, учитывая рейтинг CVSS 10.0 и простоту эксплуатации без аутентификации, обновление программного обеспечения является критически важной задачей для всех пользователей SmarterMail.
