أصدرت وكالة الأمن السيبراني في سنغافورة (CSA) تنبيهاً أمنياً بشأن ثغرة بالغة الخطورة في برنامج البريد الإلكتروني SmarterTools SmarterMail، تحمل الرمز CVE-2025-52691 وتقييم CVSS 10.0، وهو أعلى مستوى خطورة ممكن. الثغرة تتعلق بإمكانية رفع ملفات عشوائية إلى الخادم دون الحاجة إلى أي مصادقة، ما يفتح الباب أمام تنفيذ أوامر برمجية عن بُعد.
بحسب التحذير، فإن استغلال هذه الثغرة يسمح للمهاجم غير المصرّح له برفع ملفات خبيثة إلى أي موقع داخل خادم البريد، مما قد يؤدي إلى تشغيلها بنفس صلاحيات خدمة SmarterMail. هذا النوع من الثغرات يُعتبر بالغ الخطورة لأنه يسمح برفع ملفات قابلة للتنفيذ مثل PHP، والتي يمكن أن تُفسر وتُنفذ مباشرة داخل بيئة التطبيق.
سيناريوهات الهجوم المحتملة
في حال استغلال الثغرة، يمكن للمهاجمين زرع ملفات ثنائية خبيثة أو Web Shells، ما يمنحهم القدرة على التحكم الكامل بالخادم المستهدف. هذه الهجمات قد تؤدي إلى سرقة بيانات حساسة، تعطيل الخدمات، أو استخدام الخادم كنقطة انطلاق لهجمات إضافية.
برنامج SmarterMail يُستخدم كبديل لحلول البريد المؤسسي مثل Microsoft Exchange، ويوفر ميزات البريد الآمن، التقويمات المشتركة، والمراسلة الفورية. من بين مزوّدي الاستضافة الذين يعتمدون عليه شركات مثل ASPnix Web Hosting وHostek وsimplehosting.ch، ما يزيد من خطورة الثغرة نظراً لانتشار استخدامه في بيئات الاستضافة.
تفاصيل الإصدار والإصلاح
الثغرة تؤثر على إصدارات Build 9406 وما قبلها، وقد تمت معالجتها في إصدار Build 9413 بتاريخ 9 أكتوبر 2025. كما أوصت الوكالة المستخدمين بالترقية إلى أحدث إصدار متاح وهو Build 9483 الصادر في 18 ديسمبر 2025 لضمان الحماية المثلى.
الفضل في اكتشاف الثغرة يعود إلى الباحث Chua Meng Han من مركز CSIT، الذي قام بالإبلاغ عنها رسمياً. ورغم عدم وجود تقارير مؤكدة عن استغلالها في هجمات فعلية حتى الآن، إلا أن خطورتها القصوى تجعل التحديث الفوري أمراً ضرورياً.
