CSIRT Toscana Rilevata vulnerabilità in SmarterMail (AL01/251230/CSIRT-ITA)
Data:
27 Gennaio 2026
Impatto Sistemico
Critico (75.38)
Sintesi
SmarterTools ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “critica” che interessa SmarterMail, soluzione mail server on‑premises. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad utente malintenzionato non autenticato di caricare file arbitrari in qualsiasi posizione del server di posta, consentendo l’esecuzione di codice remoto.
Tipologia
- Remote Code Execution
- Arbitrary File Write
Prodotti e/o versioni affette
SmarterMail, build 9406 e precedenti.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Riferimenti
- https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-124/
- https://nvd.nist.gov/vuln/detail/CVE-2025-52691
CVE
| CVE-ID |
|---|
| CVE-2025-52691 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 30-12-2025 | 30/12/2025 |
| 1.1 | Aggiornata la sezione “CVE” con presenza PoC per lo sfruttamento della CVE-2025-52691 | 09/01/2026 |
| 1.2 | Aggiornata sezione “CVE” per rilevato sfruttamento attivo in rete della CVE-2025-52691 | 27/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
27 Gennaio 2026, 12:30