SmarterMail یک نرمافزار سرور ایمیل سازمانی است که بهصورت On-Premise یا Hosted برای ارائه وبمیل و خدمات ایمیل بهکار میرود و معمولاً در بسیاری از استقرارها به شکل اینترنتی در دسترس قرار دارد.
اخیراً یک آسیبپذیری بحرانی با شناسه CVE-2025-52691 و امتیاز CVSS:10.0 (CRITICAL) در این محصول ثبت شده است . طبق اطلاعات منتشرشده در مرجع رسمی ، در صورت بهرهبرداری موفق ، یک مهاجم بدون نیاز به احراز هویت میتواند با آپلود فایل دلخواه در هر مسیر روی سرور ایمیل، موجب اجرای کد از راه دور (RCE) و در نهایت تصرف سرور شود .
محصولات تحت تأثیر
- SmarterTools SmarterMail
- تمامی نسخههای SmarterMail تا Build 9406 و پایینتر تحت تأثیر این آسیبپذیری قرار دارند .
- این مشکل در Build 9413 رفع شده است (طبق Release Notes، این بیلد در 9 اکتبر 2025 منتشر شده است).
توصیههای امنیتی
- بهروزرسانی فوری: به تمامی سازمانها توصیه میشود در اولویت اول ، SmarterMail را به Build 9413 یا نسخههای جدیدتر ارتقا دهند (ترجیحاً آخرین بیلد موجود).
- کاهش سطح در معرض بودن تا زمان ارتقا: در صورت عدم امکان بهروزرسانی فوری ، دسترسی به رابطهای وب/مدیریتی را به IPهای مجاز محدود کنید (Allowlist/VPN) و دسترسی اینترنتی غیرضروری را حذف یا محدود کنید (اقدام پیشگیرانه متناسب با سناریوی).
- پایش پس از وصله: پس از اعمال وصله ، لاگهای وب/اپلیکیشن و تغییرات فایلهای روی سرور را بررسی کنید؛ در آسیبپذیریهای نوع آپلود فایل، نشانههای ایجاد فایل در مسیرهای غیرمعمول میتواند مهم باشد.
منبع خبر:
- 73