SmarterMail ha parcheado la vulnerabilidad CVE-2025-52691, un fallo de máxima severidad que permitía ejecutar código de forma remota (RCE) mediante la subida de archivos arbitrarios sin autenticación.
Su explotación podría permitir a atacantes desplegar web shells o malware, robar datos y moverse lateralmente dentro de las redes. Aún no hay evidencia de abuso activo, pero los servidores sin parche son objetivos primordiales una vez se difundan los detalles del exploit.
El software corporativo de servidor de correo SmarterMail acaba de corregir una vulnerabilidad crítica que permitía a actores maliciosos llevar a cabo ataques de ejecución remota de código.
En un breve aviso de seguridad publicado por la Agencia de Ciberseguridad de Singapur (CSA), se indicó que SmarterTools lanzó un parche para el CVE-2025-52691.
La Base de Datos Nacional de Vulnerabilidades (NVD) no describe el fallo en detalle, pero afirma que una explotación exitosa "podría permitir a un atacante sin autenticar subir archivos arbitrarios a cualquier ubicación del servidor de correo, posibilitando potencialmente la ejecución remota de código."
El parche actualiza la herramienta a la versión 9413, y se recomienda a los administradores actualizar lo antes posible.
Toma de control de servidores
En teoría, esto significa que un atacante sin credenciales y sin interacción del usuario puede enviar una petición manipulada al servidor, que éste acepta y almacena. Como la subida no se valida correctamente, el atacante puede colocar archivos en directorios que el servidor ejecutará.
Esto implica que los atacantes podrían subir una web shell, malware o un script malicioso para tomar el control total del servidor. Podrían robar datos sensibles, mantener acceso persistente y usar el servidor comprometido como plataforma para profundizar en la red.
Además, podrían usar los servidores comprometidos para realizar campañas de phishing y spam, o simplemente interrumpir el servicio.
Hasta ahora, no hay pruebas de que esto esté ocurriendo realmente. No hay informes de abuso activo, y la Agencia de Seguridad de Infraestructuras y Ciberseguridad de EE.UU. (CISA) no lo ha añadido aún a su catálogo de vulnerabilidades explotadas conocidas (KEV).
Sin embargo, el lanzamiento de un parche no garantiza que los ataques no vayan a llegar. Muchos cibercriminales usan los parches como notificación de vulnerabilidades existentes y luego atacan a las organizaciones que no se actualizan a tiempo.