Pesquisadores descobriram uma vulnerabilidade crítica de execução remota de código (RCE) em SmarterMail que permite execução sem autenticação via endpoint de upload. Organizações que usam SmarterMail devem verificar versões e aplicar a correção imediatamente.
Descoberta e natureza da falha
O erro, registrado como CVE-2025-52691 e avaliado com nota CVSS 10.0 pela fonte original, foi identificado pelo Centre for Strategic Infocomm Technologies (CSIT), de Singapura. A falha explora um endpoint público de upload — /api/upload — no método FileUploadController.Upload, que aceita requisições sem exigir autenticação.
Vetor de exploração
A exploração aproveita uma fraqueza de path traversal na validação do parâmetro GUID. Ao manipular o campo contextData com sequências de path traversal, um invasor pode contornar a restrição de diretório e gravar arquivos arbitrários em locais do sistema, inclusive em diretórios web‑acessíveis.
Consequências técnicas
- Envio de payloads ASPX (webshell) para o root do servidor;
- execução remota de código sem necessidade de credenciais;
- potencial comprometimento completo do servidor de e‑mail e serviços associados.
Evidências públicas e mitigação
Uma prova de conceito e ferramentas de detecção já foram publicadas: WatchTowr Labs liberou um Detection Artifact Generator no GitHub para auxiliar a identificação de exposição e criação de regras de detecção. A solução foi verificada em instalações Windows com builds antigos e recentes.
SmarterTools corrigiu silenciosamente o problema na build 9413 (lançada em 10 de outubro de 2025). No entanto, a publicação da orientação oficial da autoridade de segurança (CSA de Singapura) só ocorreu no fim de dezembro de 2025, criando uma janela de aproximadamente 2,5 meses entre a correção e a divulgação pública.
O que fazer agora
- Atualize imediatamente para a build 9413 ou versão posterior. A correção está contida nessa release;
- Se não for possível atualizar de imediato, bloqueie o endpoint /api/upload em dispositivos de borda ou WAF e monitore uploads multipart/form‑data suspeitos;
- Use as detecções publicadas pelo WatchTowr Labs para caçar evidências de uploads e webshells;
- Revise logs de acesso e integridade de arquivos em webroots e paths críticos para identificar gravações não autorizadas.
Implicações operacionais e de comunicação
A natureza pré‑autenticação da falha amplia o risco operacional: servidores expostos podem ser comprometidos sem interação legítima. A janela entre correção e divulgação pública também levanta preocupações sobre práticas de patching “silencioso” em fornecedores — clientes que não acompanharam o changelog interno ficaram potencialmente vulneráveis.
Fontes citadas: CSIT (descoberta), comunicado de correção do fornecedor (build 9413) e WatchTowr Labs (artefatos de detecção).
Limitações das informações
Não há, nas fontes avaliadas, indicação formal de exploração em larga escala confirmada por terceiros (CISA/CERT) até o momento. Tampouco foi publicada uma lista detalhada de todas as versões impactadas além da referência a “Build 9406 e anteriores”.
Resumo técnico
Vulnerabilidade: CVE-2025-52691 — Pre‑authentication RCE via /api/upload. Produto afetado: SmarterMail (SmarterTools). Versões afetadas mencionadas: Build 9406 e anteriores. Correção: Build 9413 (10/10/2025).
Recomendações finais: aplicar atualização imediatamente, ativar detecções apresentadas por WatchTowr e isolar endpoints de upload até a correção ser validada em ambiente.