Чем угрожает почтовым серверам критическая уязвимость максимального уровня в SmarterMail?

Агентство кибербезопасности Сингапура (CSA) выпустило экстренное предупреждение, касающееся критической бреши в системе безопасности программного обеспечения SmarterMail. Обнаруженная проблема классифицируется как уязвимость максимальной степени тяжести, получив наивысшую оценку 10.0 по шкале CVSS. Этот дефект ставит под угрозу конфиденциальность и целостность данных на серверах, использующих данное ПО.
Чем угрожает почтовым серверам критическая уязвимость максимального уровня в SmarterMail?
Изображение носит иллюстративный характер

Уязвимости присвоен официальный идентификатор CVE-2025-52691. Технически она представляет собой возможность произвольной загрузки файлов, что ведет к удаленному выполнению кода (RCE). Ключевой особенностью данного дефекта является отсутствие требований к аутентификации: злоумышленник может эксплуатировать уязвимость без необходимости входа в систему или наличия учетных данных.

Механизм атаки позволяет загружать опасные типы файлов, например скрипты PHP, в любое местоположение на почтовом сервере. После загрузки эти файлы автоматически обрабатываются внутри среды приложения. Система интерпретирует их и исполняет как программный код, что открывает злоумышленникам полный доступ к функционалу сервера.

Вредоносный код выполняется с теми же привилегиями, что и сама служба SmarterMail. Это позволяет атакующим развертывать вредоносные бинарные файлы или веб-оболочки (web shells), получая контроль над системой. Уровень доступа, предоставляемый этой уязвимостью, делает невозможным эффективное сдерживание атаки без установки соответствующих обновлений безопасности.

Программный продукт SmarterMail разрабатывается вендором SmarterTools и позиционируется на рынке как альтернатива Microsoft Exchange. Это ПО обеспечивает защищенную электронную почту, общие календари и мгновенный обмен сообщениями. Среди известных пользователей системы числятся такие хостинг-провайдеры, как ASPnix Web Hosting, Hostek и , чьи клиенты потенциально могли находиться в зоне риска.

Под угрозой находятся все версии SmarterMail вплоть до сборки Build 9406 включительно. Проблема была устранена в сборке Build 9413, которая вышла 9 октября 2025 года. Тем не менее, текущая рекомендация для администраторов заключается в обновлении до самой последней версии — Build 9483, выпущенной 18 декабря 2025 года.

Открытие данной уязвимости принадлежит исследователю Чуа Менг Хану (Chua Meng Han) из Центра стратегических инфокоммуникационных технологий (CSIT). Информация была передана и верифицирована через Агентство кибербезопасности Сингапура (CSA), которое и инициировало процесс оповещения общественности.

В официальном бюллетене безопасности на данный момент отсутствует упоминание о том, что уязвимость CVE-2025-52691 эксплуатировалась в реальных условиях («in the wild»). Несмотря на это, учитывая рейтинг CVSS 10.0 и простоту эксплуатации без аутентификации, обновление программного обеспечения является критически важной задачей для всех пользователей SmarterMail.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка