La Agencia de Seguridad Cibernética de Singapur (CSA) ha emitido un boletín que advierte sobre una falla de seguridad de máxima gravedad en SmarterTools Correo más inteligente software de correo electrónico que podría explotarse para lograr la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2025-52691tiene una puntuación CVSS de 10,0. Se relaciona con un caso de carga de archivos arbitrarios que podría permitir la ejecución de código sin requerir ninguna autenticación.
«La explotación exitosa de la vulnerabilidad podría permitir a un atacante no autenticado cargar archivos arbitrarios en cualquier ubicación del servidor de correo, lo que podría permitir la ejecución remota de código», dijo CSA.
Las vulnerabilidades de este tipo permiten la carga de tipos de archivos peligrosos que se procesan automáticamente dentro del entorno de una aplicación. Esto podría allanar el camino para la ejecución de código si el archivo cargado se interpreta y ejecuta como código, como es el caso de los archivos PHP.
En un escenario de ataque hipotético, un mal actor podría utilizar esta vulnerabilidad como arma para colocar binarios maliciosos o shells web que podrían ejecutarse con los mismos privilegios que el servicio SmarterMail.
SmarterMail es una alternativa a las soluciones de colaboración empresarial como Microsoft Exchange, que ofrece funciones como correo electrónico seguro, calendarios compartidos y mensajería instantánea. Según la información listado en el sitio weblo utilizan proveedores de alojamiento web como ASPnix Web Hosting, Hostek y simplehosting.ch.
CVE-2025-52691 afecta las versiones de SmarterMail Build 9406 y anteriores. Ha sido abordado en Construir 9413que se lanzó el 9 de octubre de 2025.
CSA le dio crédito a Chua Meng Han del Centro de Tecnologías de Información Estratégicas (CSIT) por descubrir e informar la vulnerabilidad.
Si bien el aviso no menciona que la falla se esté explotando en la naturaleza, se recomienda a los usuarios que actualicen a la última versión (compilación 9483, lanzada el 18 de diciembre de 2025) para una protección óptima.
Fuente