A Agência de Segurança Cibernética de Singapura (CSA) emitiu um alerta sobre uma falha crítica no software de e-mail SmarterMail, da empresa SmarterTools. A vulnerabilidade, registrada como CVE-2025-52691, permite a execução remota de código sem autenticação, representando um risco grave para servidores expostos. Com pontuação máxima de 10.0 no CVSS, a falha envolve um caso de upload arbitrário de arquivos, que pode ser explorado por atacantes para enviar arquivos maliciosos a qualquer local do servidor de e-mail, sem a necessidade de credenciais de acesso.
Segundo o comunicado da CSA, a exploração bem-sucedida da falha pode permitir que cibercriminosos carreguem arquivos perigosos, como scripts ou binários, que serão processados pelo ambiente do aplicativo, levando à execução de comandos maliciosos com os privilégios do serviço SmarterMail. A vulnerabilidade afeta diretamente servidores rodando versões Build 9406 ou anteriores do SmarterMail. A falha foi corrigida na versão Build 9413, lançada em 9 de outubro de 2025. No entanto, para máxima segurança, os usuários são orientados a atualizar para a versão mais recente, Build 9483, lançada em 18 de dezembro. Em um cenário de ataque real, um invasor poderia usar a falha para instalar web shells ou backdoors, obter acesso remoto persistente, manipular e-mails, ou até comprometer outras áreas da infraestrutura do servidor.
O SmarterMail é uma solução alternativa a plataformas como o Microsoft Exchange, oferecendo e-mail seguro, calendários compartilhados e mensagens instantâneas. Ele é usado por provedores de hospedagem como ASPnix, Hostek e SimpleHosting, o que amplia o alcance potencial da falha. A descoberta da vulnerabilidade foi creditada a Chua Meng Han, pesquisador do Centre for Strategic Infocomm Technologies (CSIT) de Singapura, que relatou a falha à SmarterTools de forma responsável.
