聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
新加坡网络安全局(CSA)发布紧急告警称,热门的企业级邮件服务器软件SmarterMail中存在灾难性漏洞CVE-2025-52691,CVSS评分为满分,攻击者无需密码即可完全控制该邮件服务器。
作为微软Exchange的替代方案,SmarterMail因其"原生MAPI支持"及跨Windows/Linux平台运行的特点,被众多寻求高性价比协作服务器的组织机构广泛采用。然而,这种灵活性如今给运行旧版本的管理员带来了重大风险。
安全公告提到,漏洞源于SmarterMail处理文件上传的方式:"成功利用该漏洞可导致未经身份验证的攻击者将任意文件上传至邮件服务器的任意位置,可能导致远程代码执行。"这意味着远程黑客可向服务器上传恶意脚本并执行,从而完全接管系统。由于该攻击无需身份验证,因此任何暴露在互联网上的服务器均可能立即成为攻击目标。
该严重漏洞由新加坡战略信息通信技术中心的研究员 Chua Meng Han 发现。 该漏洞影响范围广泛,"影响SmarterMail 9406版及更早版本。"
软件开发公司SmarterTools已迅速发布补丁。CSA强烈建议管理员立即暂停手头工作并修复系统:"受影响版本的用户和管理员应立即升级至SmarterMail 9413版本。"
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
Red Hat服务器受陷,日产1.2万名客户数据遭泄露
CISA和NSA分享如何保护微软 Exchange 服务器
MCP服务器平台严重漏洞可暴露3000+服务器和数千API密钥
SAP NetWeaver 出现新漏洞 无需登录即可接管服务器
FreePBX服务器紧急修复已遭利用0day
原文链接
https://securityonline.info/cve-2025-52691-cvss-10-critical-smartermail-flaw-opens-servers-to-unauthenticated-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
)
