CVE-2025-52691 (CVSS 10.0): 严重的 SmarterMail 漏洞使服务器面临未授权攻击

新加坡网络安全局 (CSA) 就流行的 Microsoft Exchange 企业替代方案——SmarterMail 中的一个灾难性漏洞发布了紧急警报。该安全漏洞具有可能的最严重等级，可能允许攻击者在无需密码的情况下完全接管电子邮件服务器。

SmarterMail 因其具备“原生 MAPI 支持”且能在 Windows 或 Linux 环境下运行的性价比优势，被众多寻求经济高效协作服务器的组织广泛使用。然而，对于运行旧版本的管理员来说，这种灵活性现在带来了严重风险。

该漏洞编号为 CVE-2025-52691，CVSS 评分高达 10.0 分——这个评分仅保留给最危险且最易利用的安全漏洞。

根据公告，漏洞存在于软件处理文件上传的方式中。“成功利用此漏洞可能允许未经身份验证的攻击者将任意文件上传到邮件服务器的任意位置，从而可能实现远程代码执行”。这意味着远程黑客可以向服务器上传恶意脚本并执行它，实际上等于将服务器的控制权拱手相让。由于该攻击无需身份验证，任何暴露在互联网上的服务器都是立即的攻击目标。

这一关键发现由新加坡本国的网络防御人员完成。CSA 将发现该漏洞的功劳归于战略信息通信技术中心 (CSIT) 的蔡孟翰先生。

该漏洞影响广泛的安装版本。具体而言，公告指出“该漏洞影响 SmarterMail 版本 Build 9406 及更早版本”。

SmarterTools 已迅速采取行动修补此漏洞。强烈建议管理员立即暂停手头工作并修补其系统。

“建议受影响产品版本的用户和管理员立即将 SmarterMail 更新至版本 Build 9413，” CSA 警告道。