SmarterTools SmarterMailにおいて、認証前にリモートコード実行が可能となる重大な脆弱性が公開され、CVSS深刻度スケールで満点の10.0を記録しました。
この脆弱性はCVE-2025-52691として指定され、シンガポールのサイバーセキュリティ庁(CSA)により2025年12月に公表されました。あわせて、攻撃の実現可能性を示す概念実証(PoC)エクスプロイトも公開されています。
この脆弱性は、メールおよびコラボレーションのためにSmarterMailに依存している組織にとって重大なセキュリティリスクとなります。
この公開が特に注目に値するのは、修正までのタイムラインに食い違いがある点です。
修正は2025年10月10日にリリースされたビルド9413で実装されていた一方で、脆弱性が公に開示されたのは12月下旬であり、約3か月近い隔たりがありました。
このように、非公開のパッチ適用から公開開示までの期間が長いことは、顧客への通知プロトコルや、実際に悪用され得る露出期間について重大な疑問を投げかけます。
欠陥は、認証を必要とせずに動作するSmarterMailの未認証ファイルアップロードエンドポイント /api/upload に存在します。
この脆弱性は、multipart/form-dataリクエストのcontextDataフィールド内にある guid パラメータの検証が不十分であることに起因します。
攻撃者は、guidパラメータにパストラバーサルのシーケンスを含めた特別に細工したPOSTリクエストを送信することでこれを悪用でき、サーバー上で任意のファイル書き込みが可能になります。
脆弱なコードは最終的なファイルパスを構築する前にこの入力を適切に検証しないため、攻撃者は本来想定されたApp_Data/Attachmentsディレクトリから逸脱し、 inetpub/wwwroot のようなWebからアクセス可能な場所へファイルを書き込めます。
.aspx ファイルをアップロードすることで、この仕組みを通じて攻撃者はWebシェルを設置し、侵害されたシステム上で未認証のリモートコード実行を達成できます。
生成されるレスポンスは、正確なファイルパスと名前を親切にも確認できる形で返すため、アップロードされたペイロードへ直接アクセスできてしまいます。
SmarterToolsは、GUIDの検証チェックを実装することでビルド9413にてこの脆弱性に対処しました。脆弱なビルド(9406以前)を使用している組織は、直ちに修正版へアップグレードすべきです。
セキュリティ研究者は、組織が悪用の試行を特定し、露出状況を評価できるようにするための検出アーティファクト生成ツールを公開しています。
翻訳元: https://cyberpress.org/smartertools-smartermail-vulnerability/