- SmarterMail estacionou CVE-2025-52691, uma falha máxima no RCE que permite uploads arbitrários de arquivos não autenticados.
- A exploração pode permitir que invasores implantem web shells ou malware, roubem dados e penetrem em redes.
- Ainda não foi confirmado, mas os servidores não corrigidos continuam sendo os principais alvos quando os detalhes da exploração circulam
O software de servidor de e-mail de nível empresarial da SmarterMail corrigiu recentemente uma vulnerabilidade de gravidade máxima que poderia permitir que agentes de ameaças se envolvessem em ataques de execução remota de código (RCE).
Em um breve comunicado de segurança publicado no site da Agência de Segurança Cibernética de Cingapura (CSA), foi dito que a SmarterTools (a empresa por trás do SmarterMail) lançou um patch para CVE-2025-52691.
O National Vulnerability Database (NVD) não descreve a falha em detalhes, mas diz que uma exploração bem-sucedida “poderia permitir que um invasor não autenticado carregue arquivos arbitrários para qualquer local no servidor de e-mail, permitindo a execução remota de código”.
Um patch inclui a ferramenta de compilação 9413 e os administradores são aconselhados a atualizar o mais rápido possível.
Contratação de servidores
Em teoria, isso significa que um invasor sem credenciais e sem interação com o servidor pode enviar uma solicitação especialmente criada ao servidor, que a armazenará em seu sistema de arquivos. Como o upload não é devidamente validado, o invasor pode colocar arquivos nos diretórios que o servidor irá executar ou fazer upload.
Isso significa que os invasores podem fazer upload de um web shell, malware ou script malicioso para assumir o controle total do servidor de e-mail. Eles podem roubar dados confidenciais, manter acesso persistente e usar o servidor comprometido como plataforma de ataque para se aprofundar na rede.
Eles também podem usar servidores comprometidos para realizar campanhas de phishing e spam ou simplesmente interromper a disponibilidade do serviço.
Até agora, não há evidências de que isso esteja realmente acontecendo. Não há relatos de abuso, e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ainda não adicionou as Vulnerabilidades Exploradas Conhecidas (KEV) ao seu catálogo.
No entanto, só porque um patch foi lançado, isso não significa que os ataques não virão. Muitos cibercriminosos usam patches como uma notificação de vulnerabilidades existentes e, em seguida, visam organizações que não conseguem corrigir a tempo (ou não conseguem).
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
