在确认有国家支持的黑客利用其电子邮件安全网关（ESG）中的一个严重命令注入漏洞后，Libraesva已发布了针对该漏洞的紧急补丁。

这一被标识为CVE-2025-59689的漏洞，使得攻击者能够通过发送带有特制压缩附件的恶意电子邮件来执行任意命令。该公司在发现存在主动攻击行为后的17小时内，就向客户部署了自动修复程序作为响应。

该漏洞源于ESG产品处理某些压缩归档格式时的不当清理操作。攻击者可以构造恶意电子邮件附件，当网关对其进行扫描时，这些附件会绕过安全检查，并允许注入外壳命令。

成功的漏洞利用将使攻击者能够在受影响的系统上执行任意命令，不过是以非特权用户的身份。

从那里开始，攻击者可能会进行横向移动、建立持久化机制或尝试提升权限。该漏洞影响所有4.5及更高版本的Libraesva ESG。

已确认的国家支持的攻击

Libraesva证实，至少有一起该漏洞在实际环境中被主动滥用的事件。该公司将此次攻击归咎于一个“外国敌对国家实体”，并强调了该威胁行为者的复杂本质。

据Libraesva称，此次攻击具有针对性，仅针对一台设备，这凸显了攻击者的精准性和战略意图。

这种有针对性的方法表明，攻击者并非在开展广泛的行动，而是针对特定组织进行了一次集中行动。

针对这一漏洞，Libraesva迅速采取行动，仅用17小时就开发并部署了补丁。此次紧急更新被自动推送到了所有运行5.x版本的云基和本地ESG设备上。

这个全面的补丁不仅解决了根本的净化漏洞，还包含了一个自动扫描器来检测入侵指标（IoCs），以及一个自我评估模块来验证补丁的完整性。

Libraesva为其客户提供了以下指导：

• 云客户：所有云设备已自动更新，无需采取进一步操作。
• 本地部署5.x版本用户：这些设备应该已收到自动更新。建议管理员确认其系统正在运行修补版本。
• 本地部署4.x版本用户：5.0以下版本已停止支持（EOS），且未收到自动补丁。这些用户必须手动升级到受支持的5.x版本，以保护其系统免受此已被利用的漏洞的影响。

这些修复程序在5.0.31、5.1.20、5.2.31、5.3.16、5.4.8和5.5.7版本中可用。鉴于某国家支持的行为体正在积极利用该漏洞，使用Libraesva ESG的组织应立即确保其设备运行的是已打补丁的版本。