Krytyczna podatność w SmarterMail (SmarterTools) umożliwia nieuwierzytelnionemu atakującemu przesłanie dowolnych plików w dowolne miejsce na serwerze pocztowym, co może prowadzić do zdalnego wykonania kodu. Podatność jest aktywnie wykorzystywana na wolności i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
Successful exploitation of the vulnerability could allow an unauthenticated attacker to upload arbitrary files to any location on the mail server, potentially enabling remote code execution.
Podatność (CWE-434 — unrestricted upload of file with dangerous type) pozwala atakującemu bez żadnego uwierzytelnienia przesłać plik dowolnego typu do wybranej lokalizacji na serwerze. Brak weryfikacji tożsamości użytkownika oraz brak kontroli nad typem i miejscem docelowym przesyłanego pliku sprawia, że atakujący może umieścić np. webshell lub inny złośliwy kod wykonywalny bezpośrednio na serwerze. Następnie może wywołać przesłany plik zdalnie, uzyskując pełną kontrolę nad środowiskiem serwera pocztowego.
Atakujący może uzyskać możliwość zdalnego wykonania dowolnego kodu (RCE) na serwerze pocztowym bez żadnego uwierzytelnienia, co oznacza pełne przejęcie kontroli nad systemem, dostęp do przechowywanych wiadomości e-mail oraz potencjalną możliwość lateral movement w sieci wewnętrznej.
Należy niezwłocznie zastosować patche dostępne u producenta (SmarterTools) zgodnie z referencjami. Ze względu na aktywne wykorzystywanie podatności w środowiskach produkcyjnych (CISA KEV) aktualizacja powinna zostać przeprowadzona natychmiast. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsów SmarterMail oraz wzmożony monitoring logów serwera pod kątem podejrzanych operacji uploadу plików.
Produkt SmarterMail firmy SmarterTools — wersje wskazane w referencjach producenta oraz w opracowaniu watchTowr Labs (referencja GitHub).
Publiczny kod proof-of-concept jest dostępny w repozytorium watchTowr Labs na GitHub (https://github.com/watchtowrlabs/watchTowr-vs-SmarterMail-CVE-2025-52691). Podatność została zgłoszona przez Singapore Cyber Security Agency (CSA) w alercie AL-2025-124.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HSmartertools Smartermail
APPSmartertools< 100.0.9413
CISA KEV — szczegółyi
- Dostawcai
- SmarterTools ↗
- Produkti
- SmarterMail
- Data dodania do KEVi
- 26 stycznia 2026
- Termin remediation (USA)i
- 16 lutego 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SmarterTools SmarterMail zawiera lukę związaną z nieograniczonym przesyłaniem pliku niebezpiecznego typu, która może umożliwić atakującemu bez uwierzytelnienia przesłanie dowolnych plików do dowolnej lokalizacji na serwerze poczty, potencjalnie prowadząc do zddalnego wykonania kodu.
▸ Pokaż oryginał (EN)
SmarterTools SmarterMail contains an unrestricted upload of file with dangerous type vulnerability that could allow an unauthenticated attacker to upload arbitrary files to any location on the mail server, potentially enabling remote code execution.
Powiązane podatności
SmarterMail – nieuwierzytelnione RCE przez ConnectToHub API
Pominięcie uwierzytelnienia w API resetowania hasła SmarterMail
SmarterTools SmarterMail 16.x through 100.x before 100.0.7803 allows remote code execution.
SmarterTools SmarterMail 16.x before build 6985 allows deserialization of untrusted data. An unauthenticated a...
SmarterTools SmarterMail builds prior to 9560 contain a local file inclusion vulnerability in the /api/v1/repo...