12 Ocak 2026’da gerçekleştirilen taramalara göre, internete açık 8.000’den fazla SmarterMail sunucusu, CVE-2025-52691 olarak takip edilen kritik bir uzaktan kod yürütme hatasına karşı savunmasız durumda.
Güvenlik araştırmacıları, açığa çıkan 18.783 örnekten muhtemelen etkilenmiş 8.001 benzersiz IP adresi tespit etti; kavram kanıtı istismarları artık kamuya açık durumda. Maksimum önem derecesine sahip bu güvenlik açığı, kurumsal iletişim için e-posta platformuna güvenen kuruluşlar için ciddi riskler oluşturur.
CVE-2025-52691, SmarterMail Build 9406 ve önceki sürümlerindeki kimliği doğrulanmamış rastgele dosya yükleme hatasından kaynaklanmaktadır. Saldırganlar, kimlik bilgileri olmadan herhangi bir sunucu konumuna kötü amaçlı dosyalar yükleyebilir ve hizmetin ayrıcalıkları altında uzaktan kod yürütülmesine olanak tanır.
Ulusal Güvenlik Açığı Veritabanı (NVD), ona AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H vektörüyle 10,0 CVSS v3.1 puanı atar ve bu, onu ağ üzerinden düşük karmaşıklıkla kritik derecede istismar edilebilir olarak işaretler.
| Detay | Bilgi |
|---|---|
| CVE Kimliği | CVE-2025-52691 |
| Tanım | RCE’ye yol açan, kimliği doğrulanmamış rastgele dosya yükleme |
| CVSS Puanı | 10.0 (CVSS:3.1/AC:N/UI:N/UI:C:H/I:H/A:H) |
| Etkilenen Sürümler | SmarterMail Build 9406 ve öncesi |
| Sabit Sürüm | Derleme 9413 ve üzeri |
| CWE | CWE-434 (Tehlikeli Türde Dosyanın Sınırsız Yüklenmesi) |
Başarılı bir şekilde yararlanma, sunucunun tamamının ele geçirilmesine, veri sızmasına, web kabuğu dağıtımına veya yanal harekete izin verir. Aralık 2025’in sonlarında açıklanan kusur, Singapur Siber Güvenlik Ajansı (CSA) ve Belçika CCB.x+3 dahil olmak üzere kurumlardan uyarı alınmasına neden oldu.
Shadowserver UK’nin en son kontrol paneli, Amerika Birleşik Devletleri’nin yaklaşık 5.000 savunmasız örneğe ev sahipliği yaptığını ve onu İngiltere ve Malezya’nın takip ettiğini ortaya koyuyor.
Taramalar, açığa çıkan SmarterMail ana bilgisayarlarının %42,6’sının (8.001/18.783) güvenlik açığı kontrollerinde başarısız olduğunu, muhtemelen gecikmiş yama nedeniyle doğruladı. Censys daha önce de benzer rakamlar bildirmişti ve başta ABD olmak üzere (12.500+) dünya çapında 16.000’den fazla kişinin maruz kaldığını belirtmişti.
Sploitus gibi platformlardaki genel PoC’ler, dosya yüklemeleri için basit HTTP isteklerini gösterir ve ASPX web kabukları aracılığıyla RCE’ye iletilir. Henüz yaygın bir istismar doğrulanmadı, ancak kamuya açık istismarlar, doğrudan internete bakan yama yapılmamış posta sunucuları için riskleri artırıyor.
Yöneticiler, düzeltme için SmarterMail Build 9413 veya sonraki bir sürüme, ideal olarak en yeni Build 9483’e yükseltme yapmalıdır. Ara adımlar arasında yönetici arayüzlerine harici erişimin kısıtlanması, anormal yüklemeler için günlüklerin izlenmesi ve yürütülebilir dizinlerdeki beklenmeyen dosyalar gibi IOC’lerin taranması yer alır.
Kuruluşlar, Shadowserver raporları gibi araçlar aracılığıyla maruziyeti doğrulamalı ve yama yönetiminde e-posta altyapısına öncelik vermelidir.
Bu güvenlik açığı, yama yapılmamış e-posta sunucularının tehlikelerinin altını çizerek, potansiyel olarak spam aktarımlarına, kimlik avı tabanlarına veya fidye yazılımı vektörlerine olanak tanır. CVSS mükemmelliği ve kolay istismarlar sayesinde ihlalleri önlemek için hızlı eylem şarttır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
