新加坡网络安全局发布关于 SmarterMail 严重漏洞导致远程代码执行的警报

新加坡网络安全局（CSA）

了一则通告，警告 SmarterTools 的 SmarterMail 邮件软件存在最高严重级别的安全缺陷，攻击者可利用该缺陷实现远程代码执行。

该漏洞被标记为 CVE-2025-52691，CVSS 评分为 10.0。它涉及任意文件上传，攻击者无需任何身份验证即可执行代码。

“成功利用该漏洞可能使未经身份验证的攻击者将任意文件上传至邮件服务器的任何位置，进而实现远程代码执行，”CSA 表示。

此类漏洞允许上传的危险文件在应用环境中被自动处理。如果上传的文件被解释并执行为代码（例如 PHP 文件），则会导致代码执行。

在假设的攻击场景中，攻击者可以利用该漏洞放置恶意二进制文件或 Web shell，并以 SmarterMail 服务相同的权限执行。

SmarterMail 是一种企业协作解决方案的替代品，类似于 Microsoft Exchange，提供安全邮件、共享日历和即时通讯等功能。根据信息显示，它被 ASPnix Web Hosting、Hostek 和 simplehosting.ch 等网站托管服务商采用。

CVE-2025-52691 影响 SmarterMail Build 9406 及更早版本。该问题已在

中得到修复，该版本于 2025 年 10 月 9 日发布。

CSA 表彰了来自战略信息与通信技术中心（CSIT）的 Chua Meng Han 对该漏洞的发现与报告。

虽然通告未提及该漏洞已被实际利用，但建议用户更新至最新版本（Build 9483，2025 年 12 月 18 日发布）以获得最佳防护。