Origine : bjCSIRT

Numéro : 2025/ALERTE/082

APERÇU :

Une vulnérabilité critique affectant SmarterMail permettrait à un acteur malveillant de téléverser des fichiers arbitraires sur les systèmes affectés. 

DESCRIPTION :

SmarterMail est une solution de serveur de messagerie et une plateforme de collaboration qui permet de gérer les emails, les calendriers et les contacts. Il est couramment utilisé dans des environnements professionnels et offre un accès via une interface web. 

Cette solution est affectée par une vulnérabilité critique libellée CVE‑2025‑52691, résultant d’un contrôle insuffisant des fichiers téléversés. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de téléverser, sans restriction des fichiers arbitraires sur les systèmes cibles. 

Elle est classée critique avec un score de sévérité de 10 selon le CVSS V3.1.

IMPACT :

• Exécution de scripts arbitraires  ;

• Compromission de l’intégrité du système ;

• Atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS : 

Toutes les versions de SmarterMail antérieures à la version Build 9406 incluse ;

MESURES À PRENDRE :

Mettre à jour SmarterMail vers la version Build 9413.

RÉFÉRENCES :

• https://securityonline.info/cve-2025-52691-cvss-10-critical-smartermail-flaw-opens-servers-to-unauthenticated-attacks/
• https://feedly.com/cve/CVE-2025-52691