L'Agence de cybersécurité (CSA) de Singapour a publié un bulletin avertissant d'une faille de sécurité de haute gravité dans le logiciel de messagerie SmarterTools SmarterMail qui pourrait être exploitée pour réaliser l'exécution de code à distance.
La vulnérabilité, suivie comme CVE-2025-52691Il a un score CVSS de 10,0. Il s'agit d'un cas de téléchargement de fichier arbitraire qui pourrait permettre l'exécution de code sans nécessiter aucune authentification.
“Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant non authentifié de télécharger des fichiers arbitraires vers n'importe quel emplacement du serveur de messagerie, ce qui pourrait permettre l'exécution de code à distance”, a déclaré CSA.
Les vulnérabilités de ce type permettent le téléchargement de types de fichiers dangereux qui sont automatiquement traités dans un environnement d'application. Cela pourrait ouvrir la voie à l’exécution de code si le fichier téléchargé est interprété et exécuté comme du code, comme c’est le cas avec les fichiers PHP.
Dans un scénario d’attaque hypothétique, un acteur malveillant pourrait exploiter cette vulnérabilité pour supprimer des binaires ou des shells Web malveillants qui pourraient s’exécuter avec les mêmes privilèges que le service SmarterMail.
SmarterMail est une alternative aux solutions de collaboration d'entreprise telles que Microsoft Exchange, offrant des fonctionnalités telles que la messagerie sécurisée, les calendriers partagés et la messagerie instantanée. Selon les informations figurant sur le site Web, il est utilisé par des fournisseurs d'hébergement Web tels que ASPnix Web Hosting, Hostek et simplehosting.ch.
CVE-2025-52691 affecte les versions SmarterMail Build 9406 et antérieures. Ce problème a été corrigé dans la build 9413, publiée le 9 octobre 2025.
CSA a remercié Chua Meng Han du Centre des technologies de l'information stratégique (CSIT) pour avoir découvert et signalé la vulnérabilité.
Bien que l'avis ne mentionne pas la faille exploitée dans la nature, il est conseillé aux utilisateurs de mettre à jour vers la dernière version (build 9483, publiée le 18 décembre 2025) pour une protection optimale.
Mise à jour
La plateforme de gestion des surfaces d'attaque Censys a déclaré qu'elle observait près de 16 000 hôtes exposés à Internet qui sont potentiellement vulnérables à la faille. Parmi eux, plus de 12 500 cas se trouvent aux États-Unis, suivis par la Malaisie (784), l’Iran (348), l’Inde (321), le Royaume-Uni (292) et l’Allemagne (205).
Mise à jour
Dans une analyse technique publiée le 8 janvier 2026, watchTowr a déclaré que le problème provenait d'un pilote API appelé « SmarterMail.Web.Api.FileUploadController.Upload() » qui est enregistré dans le chemin « /api/upload ». Cette API, à son tour, permet le téléchargement de fichiers, de pièces jointes et de notes ICS.
Une analyse plus approfondie a déterminé qu'il est possible d'envoyer une requête spécialement conçue au point de terminaison « api/upload » avec l'en-tête Content-Type défini sur « multipart/form-data » pour télécharger un fichier et réaliser une écriture complète d'un fichier non authentifié sur SmarterMail en tirant parti du fait qu'un paramètre appelé GUID est susceptible de traverser le chemin.
En conséquence, un attaquant peut envoyer une requête HTTP avec le paramètre GUID défini sur une valeur spécifique (par exemple, “dag/../../../../../../../../../../../../../../../inetpub/wwwroot/watchTowr”) pour charger un shell Web sur l'instance et obtenir l'exécution de code.
“De plus, il semble que SmarterMail analyse toutes les pièces jointes avec ClamAV”, ont déclaré les chercheurs Piotr Bazydlo et Sina Kheirkhah. “Cependant, ClamAV ne peut pas reconnaître une (éventuelle) charge utile Webshell de base ou SmarterMail ne peut pas traiter les résultats ClamAV.”
(L'histoire a été mise à jour après sa publication le 9 janvier 2026 pour inclure des détails techniques supplémentaires sur la panne de watchTowr.)