SmarterTools, yaygın olarak kullanılan SmarterMail yazılımındaki kritik bir güvenlik açığına ilişkin acil bir güvenlik tavsiyesi yayınladı.
Mümkün olan en yüksek önem derecesine sahip olan kusur, kimliği doğrulanmamış saldırganların etkilenen posta sunucularını tamamen ele geçirmesine olanak tanıyabilir.
CVE-2025-52691 olarak takip edilen güvenlik açığına, maksimum ciddiyeti gösteren CVSS v3.1 puanı 10,0 olarak atandı. SmarterMail’in Build 9406 ve önceki sürümlerini etkiler.
Siber Güvenlik Ajansı’na göre güvenlik kusuru, rastgele dosya yükleme zayıflığından kaynaklanıyor. Basit bir ifadeyle yazılım, sunucuya yüklenebilecek dosya türlerini düzgün bir şekilde kontrol edemiyor veya kısıtlayamıyor.
Bu gözetim, saldırganın oturum açmasına veya önceden erişime sahip olmasına gerek kalmadan, kötü amaçlı dosyaları posta sunucusunun dosya sistemindeki herhangi bir konuma yüklemesine olanak tanır.
Kötü amaçlı bir dosya yüklendikten sonra saldırgan, Uzaktan Kod Yürütme (RCE) gerçekleştirmek için dosyayı yürütebilir.
Bu kurumsal güvenlik açısından en kötü senaryodur. RCE yetenekleri sayesinde bir bilgisayar korsanı, posta sunucusu yazılımıyla aynı ayrıcalıklara sahip komutları çalıştırabilir. Bu şunlara yol açabilir:
- Veri Hırsızlığı: Hassas e-postalara, kişi listelerine ve eklere erişme.
- Sunucunun Devralınması: Fidye yazılımı, arka kapı veya diğer kötü amaçlı yazılımların yüklenmesi.
- Ağ Döndürme: Güvenliği ihlal edilmiş posta sunucusunu, dahili ağdaki diğer cihazlara saldırmak için başlatma paneli olarak kullanmak.
SmarterTools bu sorunu çözmek için bir yama yayınladı. Kullanıcıların ve yöneticilerin derhal SmarterMail Build 9413’e güncelleme yapmaları önemle tavsiye edilir.
| Özellik | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-52691 |
| Ürün | Daha Akıllı Posta |
| Güvenlik Açığı Türü | Rastgele Dosya Yükleme / RCE |
| CVSS v3.1 Puanı | 10,0 (Kritik) |
İstismarın “doğrulanmamış” doğası göz önüne alındığında, internete maruz kalan herhangi bir sunucu, güncellenene kadar doğrudan risk altındadır.
Güvenlik açığı, Stratejik Bilgi İletişim Teknolojileri Merkezi’nden (CSIT) Bay Chua Meng Han tarafından keşfedildi.
Singapur Siber Güvenlik Ajansı (CSA), SmarterTools Inc.’i, koordineli açıklama yoluyla sorunu çözmedeki hızlı işbirliğinden dolayı takdir etti.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.