Relatórios de varredura publicados em 12–13 de janeiro de 2026 indicam que mais de 8.000 servidores SmarterMail expostos na Internet permanecem vulneráveis a uma falha de upload arbitrário (CVE-2025-52691) que pode levar a execução remota de código. Proof‑of‑concepts públicos aumentam o risco para servidores não corrigidos.
O que é a falha?
CVE-2025-52691 é uma vulnerabilidade de upload arbitrário sem autenticação em SmarterMail (Build 9406 e anteriores). A falha permite que um atacante suba ficheiros maliciosos em locais arbitrários do servidor e, por consequência, obtenha execução de código sob o contexto do serviço, permitindo implantação de webshells, exfiltração ou movimento lateral.
Escala e evidências
Scan do Shadowserver (relatado em 13/01/2026) encontrou 8.001 endereços IP únicos provavelmente vulneráveis entre 18.783 instâncias expostas — cerca de 42,6% das instâncias verificadas falharam no teste de vulnerabilidade. Relatórios complementares (Censys) indicam mais de 16.000 instâncias expostas globalmente, com concentração nos EUA.
Gravidade técnica
O NVD atribuiu à CVE pontuação 10.0 (CVSS v3.1: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), indicando exploração remota com complexidade baixa e impacto total sobre confidencialidade, integridade e disponibilidade. Publicação de PoC em plataformas públicas (ex.: Sploitus) demonstra requisições HTTP simples que exploram o upload e permitem escalonamento para RCE via webshell ASPX.
Mitigação e correção
SmarterTools liberou correção: migrar para Build 9413 ou superior (idealmente Build 9483, quando disponível). Medidas temporárias recomendadas pela comunidade e por operadores incluem restringir acesso externo às interfaces administrativas, monitorar logs por uploads incomuns e procurar IOCs (ficheiros executáveis inesperados em diretórios web). Shadowserver fornece dashboards e listas de IPs para verificações.
Impacto operacional e riscos
Servidores de e‑mail vulneráveis representam vetores atraentes para múltiplas posturas de ataque: implantação de infraestrutura de phishing, entrega de malware, host para webshells e pivot para redes internas. A combinação de alta severidade (CVSS 10) e PoCs públicas reduz o tempo de janela para exploração bem-sucedida em servidores expostos sem correção.
Recomendações práticas
- Inventariar instâncias SmarterMail internas e externas e verificar versões contra Build 9406 ou anteriores;
- Aplicar patch imediato para Build 9413+ ou recomendações do fornecedor;
- Isolar e bloquear acesso público a servidores de e‑mail até a correção ser implantada;
- Varrer por webshells e arquivos recentemente adicionados em diretórios web; revisar logs de upload e processos ASPX/ASPX-related;
- Utilizar relatórios do Shadowserver e ferramentas de varredura (Censys) para validar exposição externa.
Apesar de não haver confirmação pública de campanhas de exploração em larga escala no momento da publicação, a presença de PoCs públicas e o elevado número de hosts expostos exigem resposta imediata de equipes de operação e segurança.