文章总结： 新加坡网络安全局预警，热门邮件服务器软件SmarterMail存在严重漏洞CVE-2025-52691，CVSS评分满分。该漏洞源于文件上传处理缺陷，允许未经身份验证的攻击者上传任意文件并执行代码，从而完全接管服务器。影响9406及更早版本，官方已发布补丁，建议立即升级至9413版本以修复风险。 综合评分： 70 文章分类： 漏洞预警,漏洞分析,网络安全

SmarterMail 严重漏洞可导致服务器遭完全接管

Ddos

代码卫士

2025年12月30日 18:10 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

新加坡网络安全局（CSA）发布紧急告警称，热门的企业级邮件服务器软件SmarterMail中存在灾难性漏洞CVE-2025-52691，CVSS评分为满分，攻击者无需密码即可完全控制该邮件服务器。

作为微软Exchange的替代方案，SmarterMail因其”原生MAPI支持”及跨Windows/Linux平台运行的特点，被众多寻求高性价比协作服务器的组织机构广泛采用。然而，这种灵活性如今给运行旧版本的管理员带来了重大风险。

安全公告提到，漏洞源于SmarterMail处理文件上传的方式：”成功利用该漏洞可导致未经身份验证的攻击者将任意文件上传至邮件服务器的任意位置，可能导致远程代码执行。”这意味着远程黑客可向服务器上传恶意脚本并执行，从而完全接管系统。由于该攻击无需身份验证，因此任何暴露在互联网上的服务器均可能立即成为攻击目标。

该严重漏洞由新加坡战略信息通信技术中心的研究员 Chua Meng Han 发现。 该漏洞影响范围广泛，”影响SmarterMail 9406版及更早版本。”

软件开发公司SmarterTools已迅速发布补丁。CSA强烈建议管理员立即暂停手头工作并修复系统：”受影响版本的用户和管理员应立即升级至SmarterMail 9413版本。”

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Red Hat服务器受陷，日产1.2万名客户数据遭泄露

CISA和NSA分享如何保护微软 Exchange 服务器

MCP服务器平台严重漏洞可暴露3000+服务器和数千API密钥

SAP NetWeaver 出现新漏洞 无需登录即可接管服务器

FreePBX服务器紧急修复已遭利用0day

原文链接

CVE-2025-52691 (CVSS 10): Critical SmarterMail Flaw Opens Servers to Unauthenticated Attacks

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos《SmarterMail 严重漏洞可导致服务器遭完全接管》