新加坡CSA警告：SmarterMail关键漏洞可能导致未经认证的远程代码执行

新加坡网络安全局（CSA）发布了一项高度优先警报，提醒各组织和系统管理员注意影响SmarterMail的关键安全漏洞。SmarterMail是由SmarterTools开发的企业电子邮件和协作平台。该漏洞编号为CVE-2025-52691，具有最高严重等级评级，可能允许攻击者在无需认证的情况下远程执行任意代码。

根据CSA的信息，此漏洞的通用漏洞评分系统（CVSS v3.1）评分为10.0，反映了其潜在的广泛和严重影响。该问题源于一个任意文件上传缺陷，未经认证的攻击者可能利用此缺陷将文件上传到易受攻击的邮件服务器上的任何目录。

“成功利用此漏洞可能允许未经认证的攻击者将任意文件上传到邮件服务器上的任何位置，从而可能实现远程代码执行，”CSA在其公告中表示。

CVE-2025-52691的技术细节和潜在攻击场景

被识别为CVE-2025-52691的漏洞影响SmarterMail版本Build 9406及更早版本。其核心在于允许任意文件上传，这类漏洞在服务器端应用程序中尤其危险。如果恶意文件类型被上传并由应用程序环境自动处理，它可能会被解释为可执行代码。

CSA指出，这种行为可能为远程代码执行铺平道路，特别是如果攻击者上传了服务器能够执行的脚本或二进制文件。例如，恶意网页后门或二进制文件可能被放置在服务器上，并以与SmarterMail服务本身相同的权限运行。

CSA概述的一个假设攻击场景中，威胁行为者可以利用此弱点建立对邮件服务器的持久访问。从那里，攻击者可能窃取敏感数据、部署额外的恶意软件，或者利用被入侵的系统作为在组织网络内横向移动的跳板。无需任何认证要求降低了利用的门槛。

受影响版本和推荐缓解措施

CSA确认SmarterMail Build 9406及更早版本容易受到利用。为了降低风险，SmarterTools已发布解决此问题的安全更新。该漏洞已在2025年10月9日发布的SmarterMail Build 9413中修复。

“建议受影响产品版本的用户和管理员立即更新到SmarterMail版本Build 9413，”CSA在其公告中声明。

虽然Build 9413解决了CVE-2025-52691问题，但CSA进一步建议升级到最新的可用版本以改善安全状况。截至公告发布时，最新版本是2025年12月18日发布的SmarterMail Build 9483。

尽管该机构指出没有迹象表明该漏洞在野外被积极利用，但建议及时打补丁以减少暴露风险。

发现、披露和更广泛的影响

CSA将漏洞的发现和负责任报告归功于战略信息通信技术中心（CSIT）的Chua Meng Han。该机构还感谢**SmarterTools Inc.**在协调披露和修复过程中的合作。

虽然CSA未报告任何已确认的CVE-2025-52691在野外被利用的情况，但该机构明确表示，未经认证的远程代码执行漏洞构成了严重且直接的风险。运行SmarterMail的组织应将此漏洞视为高度优先事项，立即应用所需的更新，并主动审查系统是否存在未经授权的文件上传或可疑活动的迹象。