SmarterMail: RCE pré-auth (CVE-2025-52691) via endpoint d’upload non authentifié et traversée de chemin
Selon un billet technique de watchTowr Labs (Piotr Bazydlo), s’appuyant sur un avis de la Cyber Security Agency (CSA) de Singapour, une vulnérabilité critique CVE-2025-52691 dans SmarterTools SmarterMail permet une exécution de code à distance pré-authentifiée (CVSS 10), corrigée en build 9413 (10 oct. 2025) alors que l’avis public n’est paru qu’en fin décembre 2025. Le produit concerné est SmarterMail (serveur e-mail/collaboration Windows/Linux). Les chercheurs notent un possible correctif silencieux en octobre (build 9413) précédant la divulgation officielle, les notes de version mentionnant seulement des « general security fixes ». Les versions analysées montrent 9406 vulnérable et 9413 non vulnérable (build 9483 était la plus récente au moment de l’article). ...