La Agencia de Seguridad Cibernética de Singapur (CSA) emitió un boletín advirtiendo sobre una falta de seguridad de máxima dificultad en el software de correo electrónico SmarterTools SmarterMail que podría explotarse para conseguir la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2025-52691tiene una puntuación CVSS de 10,0. Se relaciona con un caso de carga de archivos arbitrarios que podría permitir la ejecución de código sin requerir ninguna autenticación.
“La explotación exitosa de la vulnerabilidad podría permitir a un atacante no autenticado cargar archivos arbitrarios en cualquier ubicación del servidor de correo, lo que podría permitir la ejecución remota de código”, dijo CSA.
Las vulnerabilidades de este tipo permiten la carga de tipos de archivos peligrosos que se procesan automáticamente adentro del entorno de una aplicación. Esto podría allanar el camino para la ejecución de código si el archivo cargado se interpreta y ejecuta como código, como es el caso de los archivos PHP.
En un proscenio de ataque hipotético, un mal actor podría utilizar esta vulnerabilidad como pertrechos para colocar binarios maliciosos o shells web que podrían ejecutarse con los mismos privilegios que el servicio SmarterMail.
SmarterMail es una alternativa a las soluciones de colaboración empresarial como Microsoft Exchange, que ofrece funciones como correo electrónico seguro, calendarios compartidos y transporte instantánea. Según la información que figura en el sitio web, lo utilizan proveedores de alojamiento web como ASPnix Web Hosting, Hostek y simplehosting.ch.
CVE-2025-52691 afecta las versiones de SmarterMail Build 9406 y anteriores. Se solucionó en la compilación 9413, que se lanzó el 9 de octubre de 2025.
CSA le dio crédito a Chua Meng Han del Centro de Tecnologías de Información Estratégicas (CSIT) por descubrir e informar la vulnerabilidad.
Si adecuadamente el aviso no menciona que la falta se esté explotando en la naturaleza, se recomienda a los usuarios que actualicen a la última lectura (compilación 9483, lanzazo el 18 de diciembre de 2025) para una protección óptima.
