Inicio

Alerta de Outbreak: Vulnerabilidad Crítica de Ejecución Remota de Código (RCE) en SmarterTools SmarterMail

Recursos afectados

Todas las instalaciones de SmarterTools SmarterMail que se encuentren en las siguientes versiones:

  • Build 9406 y versiones anteriores.

Detalle

La vulnerabilidad, identificada como CVE-2025-52691 y con la máxima severidad posible (Crítica, CVSS 10.0), afecta a este servidor de correo y colaboración corporativa. Su explotación no requiere privilegios ni interacción del usuario, permitiendo la carga de archivos arbitrarios en cualquier directorio del servidor de correo. Debido a su explotación activa y extendida, el gobierno de EE. UU. (CISA) la añadió a su catálogo de vulnerabilidades explotadas el 26 de enero de 2026.

Descripción:

El fallo se origina por controles de seguridad insuficientes (tipo Unrestricted File Upload) en la interfaz web de la aplicación (específicamente en rutas como /api/upload). Un atacante remoto puede abusar de esta debilidad para cargar cargas útiles (payloads) maliciosas, como web shells o scripts, fuera de los directorios de carga permitidos. Al ejecutar estos archivos, el atacante obtiene control total sobre el servidor, permitiéndole exfiltrar correos electrónicos confidenciales, establecer persistencia a largo plazo y pivotar lateralmente hacia otros equipos de la red interna.

Solución

Dado que hay explotación activa en la naturaleza, se deben tomar las siguientes medidas de emergencia:

  1. Actualización Inmediata: Actualizar el software SmarterMail a la versión Build 9413 (o posterior), la cual contiene los parches liberados por el fabricante.

  2. Aislamiento Temporal: Si el parcheo no puede ejecutarse al instante, se debe restringir el acceso externo a las interfaces de administración de SmarterMail.

  3. Monitoreo Proactivo y Caza de Amenazas: Revisar los registros en busca de creación inesperada de archivos (como extensiones .aspx) en rutas accesibles por la web. Para facilitar el monitoreo proactivo del tráfico perimetral, es fundamental verificar que las plataformas de seguridad cuenten con las bases de datos actualizadas; por ejemplo, si se cuenta con telemetría en un FortiAnalyzer y protección en FortiGate, asegúrate de que el motor IPS esté al menos en la versión DB 35.156, la cual ya incluye las firmas para bloquear esta explotación.

 

Preguntada on 13/02/2026 en N2-ALTA.
Agregar Comentario
Cancel
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.