- SmarterMail menambal CVE-2025-52691, kelemahan RCE dengan tingkat keparahan maksimum yang memungkinkan pengunggahan file sewenang-wenang yang tidak diautentikasi
- Eksploitasi dapat menyebabkan penyerang menyebarkan web shell atau malware, mencuri data, dan masuk lebih jauh ke dalam jaringan
- Belum ada penyalahgunaan yang terkonfirmasi, namun server yang belum dipatch tetap menjadi target utama setelah rincian eksploitasi beredar
Kelas bisnis e-mail perangkat lunak server SmarterMail baru saja menambal kerentanan dengan tingkat keparahan maksimum yang memungkinkan pelaku ancaman terlibat dalam serangan eksekusi kode jarak jauh (RCE).
Dalam nasihat keamanan singkat yang dipublikasikan di situs Cyber Security Agency of Singapore (CSA), disebutkan bahwa SmarterTools (perusahaan di balik SmarterMail) merilis patch untuk CVE-2025-52691.
National Vulnerability Database (NVD) tidak menjelaskan bug tersebut secara rinci namun mengatakan bahwa eksploitasi yang berhasil “dapat memungkinkan penyerang yang tidak diautentikasi untuk mengunggah file sembarangan ke lokasi mana pun di server email, yang berpotensi memungkinkan eksekusi kode jarak jauh.”
Sebuah patch membawa alat tersebut ke build 9413, dan admin disarankan untuk melakukan upgrade sesegera mungkin.
Mengambil alih server
Secara teori, ini berarti bahwa penyerang tanpa kredensial dan tanpa interaksi pengguna dapat mengirimkan permintaan yang dibuat khusus ke server, yang kemudian diterima dan disimpan di sistem filenya. Karena unggahan tidak divalidasi dengan benar, penyerang dapat meletakkan file di direktori tempat server akan menjalankan atau memuatnya.
Ini berarti penyerang dapat mengunggah web shell, perangkat lunak perusakatau skrip berbahaya untuk mengambil kendali penuh atas server email. Mereka dapat mencuri data sensitif, mempertahankan akses persisten, dan bahkan menggunakan server yang telah disusupi sebagai platform serangan untuk masuk lebih dalam ke dalam jaringan.
Selain itu, mereka dapat menggunakan server yang disusupi untuk melakukan kampanye phishing dan spam, atau sekadar mengganggu ketersediaan layanan.
Sejauh ini, belum ada bukti bahwa hal tersebut benar-benar terjadi. Tidak ada laporan mengenai penyalahgunaan di alam bebas, dan Badan Keamanan Siber dan Infrastruktur AS (CISA) belum menambahkannya ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV).
Namun, hanya karena patch dirilis, bukan berarti serangan tidak akan datang. Banyak penjahat dunia maya menggunakan patch sebagai pemberitahuan mengenai kerentanan yang ada, dan kemudian menargetkan organisasi yang tidak melakukan patch tepat waktu (atau tidak melakukan patch sama sekali).
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
