新加坡网络安全局（CSA）发布公告，警告SmarterTools的SmarterMail电子邮件软件中存在一个最高严重级别的安全漏洞，可被利用以实现远程代码执行。

该漏洞编号为CVE-2025-52691，CVSS评分为10.0。它涉及一个任意文件上传问题，可以在无需任何身份验证的情况下实现代码执行。

“成功利用该漏洞可能允许未经身份验证的攻击者将任意文件上传到邮件服务器上的任何位置，从而可能实现远程代码执行，“CSA表示。

这类漏洞允许上传危险的文件类型，这些文件会在应用程序环境中被自动处理。如果上传的文件被解释并执行为代码（例如PHP文件），这可能为代码执行铺平道路。

在一个假设的攻击场景中，恶意行为者可以利用此漏洞放置恶意二进制文件或Webshell，这些文件可以以与SmarterMail服务相同的权限执行。

SmarterMail是微软Exchange等企业协作解决方案的替代品，提供安全电子邮件、共享日历和即时通讯等功能。根据网站上列出的信息，它被ASPNix Web Hosting、Hostek和simplehosting.ch等网络托管服务提供商使用。

CVE-2025-52691影响SmarterMail版本Build 9406及更早版本。该漏洞已在2025年10月9日发布的Build 9413中得到修复。

CSA将此漏洞的发现和报告归功于战略信息通信技术中心（CSIT）的Chua Meng Han。

虽然公告中没有提到该漏洞在野被利用，但建议用户更新到最新版本（2025年12月18日发布的Build 9483）以获得最佳保护。