【漏洞通告】SmarterMail 未授权文件上传漏洞(CVE-2025-52691)
发布时间 2025-12-30一、漏洞概述
漏洞名称 | SmarterMail 未授权文件上传漏洞 | ||
CVE ID | CVE-2025-52691 | ||
漏洞类型 | 任意文件上传 | 发现时间 | 2025-12-30 |
漏洞评分 | 10 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
SmarterMail是SmarterTools公司推出的一款基于Windows平台的邮件服务器软件,支持SMTP、POP3、IMAP及WebMail等核心邮件功能,广泛应用于中小企业和自建邮件系统场景。该产品提供反垃圾邮件、防病毒、多域管理和用户权限控制等能力,以部署灵活、授权成本相对较低为特点,但对运维与安全配置要求较高。
2025年12月30日,启明星辰集团VSRC监测到SmarterMail存在未授权文件上传漏洞。漏洞成因在于服务器对文件上传过程中的安全校验不足,导致攻击者在无需任何身份认证的情况下,即可向邮件服务器任意路径上传恶意文件。若被成功利用,攻击者可能进一步执行任意代码,从而完全控制服务器,造成邮件数据泄露、系统被植入后门或业务服务中断等严重后果,漏洞评分10分,漏洞级别严重。
二、影响范围
SmarterMail <= 9406
三、安全措施
3.1 升级版本
下载链接:https://www.smartertools.com/smartermail/downloads/
3.2 临时措施
暂无。
京公网安备11010802024551号