Selon un billet technique de watchTowr Labs (Piotr Bazydlo), s’appuyant sur un avis de la Cyber Security Agency (CSA) de Singapour, une vulnérabilité critique CVE-2025-52691 dans SmarterTools SmarterMail permet une exécution de code à distance pré-authentifiée (CVSS 10), corrigée en build 9413 (10 oct. 2025) alors que l’avis public n’est paru qu’en fin décembre 2025.

Le produit concerné est SmarterMail (serveur e-mail/collaboration Windows/Linux). Les chercheurs notent un possible correctif silencieux en octobre (build 9413) précédant la divulgation officielle, les notes de version mentionnant seulement des « general security fixes ». Les versions analysées montrent 9406 vulnérable et 9413 non vulnérable (build 9483 était la plus récente au moment de l’article).

Sur le plan technique, l’API d’upload /api/upload (contrôleur FileUploadController) est accessible sans authentification (AllowAnonymous). Le paramètre contextData est désérialisé dans un objet dont la propriété guid est contrôlable par l’attaquant. Avec context=attachment, le flux suit MailLogic.SaveAttachment puis AttachmentsHelper.SaveAttachment, où le guid injecté est utilisé pour générer le nom et l’emplacement du fichier sans validation suffisante. L’absence de sanitisation adéquate dans GenerateFileName/GenerateFileNameAndLocation permet une traversée de chemin et une écriture de fichier arbitraire hors de App_Data/Attachments (ex. dépôt d’une webshell dans inetpub/wwwroot), conduisant à une RCE pré-auth. L’attaque s’effectue via une requête multipart/form-data incluant notamment context, contextData (avec guid malveillant) et resumableFilename.

Les chercheurs indiquent que SmarterMail scanne les pièces jointes avec ClamAV, mais que ce mécanisme n’a pas empêché le dépôt d’une webshell dans leurs tests. Ils soulignent également que la réponse HTTP retourne le nom final du fichier écrit, ce qui facilite la confirmation d’exploitation.

watchTowr Labs publie un Detection Artifact Generator pour aider à évaluer l’exposition et bâtir des règles de détection. Les tests ont été réalisés sur des installations Windows avec des builds 94xx et un ancien build 16 (non exhaustif). Cet article est une publication de recherche présentant une analyse et une démonstration de l’exploitation.

• IOCs: aucun indicateur concret fourni dans l’article. • TTPs:

  • Exploitation d’un endpoint d’upload non authentifié (pré-auth)
  • Désérialisation JSON contrôlée pour fixer un guid malveillant
  • Traversée de chemin menant à écriture de fichier arbitraire dans le webroot
  • Déploiement de webshell et RCE
  • Usage de multipart/form-data avec paramètres context/contextData/resumableFilename

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation d’un endpoint d’upload non authentifié (pré-auth)’, ‘Désérialisation JSON contrôlée pour fixer un guid malveillant’, ‘Traversée de chemin menant à écriture de fichier arbitraire dans le webroot’, ‘Déploiement de webshell et RCE’, ‘Usage de multipart/form-data avec paramètres context/contextData/resumableFilename’]

IOC

aucun indicateur concret fourni dans l’article

🔗 Source originale : https://labs.watchtowr.com/do-smart-people-ever-say-theyre-smart-smartertools-smartermail-pre-auth-rce-cve-2025-52691/