出典: Security NEXT – https://www.security-next.com/180174
悪用される「SmarterMail」脆弱性 – 侵害調査や最新ビルドへの更新を
悪用される「SmarterMail」脆弱性 – 侵害調査や最新ビルドへの更新を
SmarterToolsが提供するメール製品「SmarterMail」における深刻な脆弱性が攻撃の標的となっている。侵害調査や最新版への更新が呼びかけられている。
認証を必要とすることなく、サーバ上の任意の場所にファイルをアップロードし、リモートより任意のコードを実行できる「CVE-2025-52691」が悪用されていることがわかった。
CVE番号を採番したシンガポールのサイバーセキュリティ庁は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最大値となる「10.0」と評価。現地時間2025年10月9日にリリースされた「ビルド9413」において修正されている。
2026年に入ると、パスワードリセットAPIにおいて認証をバイパスできる脆弱性「CVE-2026-23760」が明らかとなった。管理者権限を取得され、最終的には「SmarterMail」が稼働するサーバ全体を掌握されるおそれもある。
また悪用の報告はないものの、HTTPサーバに誘導することで「ConnectToHub API」において認証を
