Vulnerabilità in Libraesva ESG (AL01/250922/CSIRT-ITA)

Data:
30 Settembre 2025

Impatto Sistemico

Alto (68.07)

Sintesi

Rilevata una vulnerabilità di tipo “Command Injection” che riguarda il prodotto ESG (Email Security Gateway) di Libraesva, appliance di sicurezza email per la protezione della posta aziendale. Tale vulnerabilità, dovuta a meccanismi di deserializzazione non adeguati, potrebbe permettere l’esecuzione di codice arbitrario non privilegiato tramite allegati opportunamente predisposi.

Tipologia

Arbitrary Code Execution

Prodotti e versioni affette

Libraesva ESG

ESG 5.0.x, versioni precedenti alla 5.0.31
ESG 5.1.x, versioni precedenti alla 5.1.20
ESG 5.2.x, versioni precedenti alla 5.2.31
ESG 5.4.x, versioni precedenti alla 5.4.8
ESG 5.5.x, versioni precedenti alla 5.5.7

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Riferimenti

https://docs.libraesva.com/knowledgebase/security-advisory-command-injection-vulnerability-cve-2025-59689/

CVE

CVE-ID
CVE-2025-59689

Change log

Versione	Note	Data
1.0	Pubblicato il 22-09-2025	22/09/2025
1.1	Il vendor afferma che la vulnerabilità risulta essere stata sfruttata attivamente in rete. Ricalcolato Impatto Sistemico.	22/09/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

30 Settembre 2025, 12:00

CSIRT Toscana

CSIRT Toscana