کمیته رکن چهارم – سازمان امنیت سایبری سنگاپور (CSA) در تاریخ ۳۰ دسامبر ۲۰۲۵ هشدار داد که یک آسیبپذیری بسیار خطرناک در نرمافزار سرور ایمیل SmarterMail شناسایی شده که میتواند به مهاجمان اجازه اجرای کد از راه دور بدون نیاز به احراز هویت بدهد. این نقص با شناسه CVE-2025-52691 ثبت شده و امتیاز ۱۰ از ۱۰ را در ارزیابی CVSS دریافت کرده است.
به گزارش کمیته رکن چهارم، این آسیبپذیری از طریق امکان آپلود فایل دلخواه بهصورت غیرمجاز به مهاجم این توانایی را میدهد که فایلهای اجرایی یا اسکریپتهای تحت وب (web shells) را با سطح دسترسی برنامه SmarterMail روی سرور اجرا کند. در صورتی که این فایلها قابلیت تفسیر توسط سرور را داشته باشند، امکان اجرای کد مخرب فراهم خواهد شد.
نسخههای آسیبپذیر شامل Build 9406 و پایینتر هستند، و این نقص در نسخه Build 9413 که در تاریخ ۹ اکتبر ۲۰۲۵ منتشر شد، برطرف شده است. جدیدترین نسخه ایمن توصیهشده، Build 9483 است که در ۱۸ دسامبر ۲۰۲۵ ارائه شده است.
نرمافزار SmarterMail جایگزینی برای پلتفرمهایی مانند Microsoft Exchange محسوب میشود و در بسیاری از سرویسهای میزبانی وب مورد استفاده قرار میگیرد. با وجود عدم شناسایی سوءاستفاده فعال از این آسیبپذیری، به کاربران توصیه شده که هرچه سریعتر نرمافزار خود را به آخرین نسخه بهروزرسانی کنند تا از خطرات احتمالی جلوگیری شود.
