SmarterTools SmarterMail Vulnerability Enables Remote Code Execution Attack – PoC Released
2026/01/09 CyberSecurityNews — SmarterTools の SmarterMail ソリューションに発見された認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2025-52691 は、CVSS スコア 10.0 と評価されており、影響を受けるシステムに対して深刻な影響を及ぼす可能性がある。SmarterMail は Windows/Linux 向けのオールインワン型ビジネス・メール/コラボレーション・サーバであり、Microsoft Exchange の代替製品として広く利用されている。
SmarterTools SmarterMail におけるリモートコード実行 (RCE) の脆弱性
| CVE ID | CVSS Score | Vulnerability Type | Affected Versions |
|---|---|---|---|
| CVE-2025-52691 | 10.0 (Critical) | Pre-Authentication Remote Code Execution | Build 9406 and earlier |
この脆弱性は、シンガポールの Centre for Strategic Infocomm Technologies (CSIT) のセキュリティ研究者により発見された。具体的には、アプリケーション内に存在する認証不要のファイル・アップロード・エンドポイントの悪用を許すものである。
この欠陥は “/api/upload” ルートの FileUploadController.Upload メソッド内に存在し、GUID パラメータ検証においてパス・トラバーサルを引き起こすものである。contextData パラメータを操作する攻撃者が、悪意の GUID 値を取り込むことで、制限されたディレクトリが回避され、Web アクセス可能な任意の場所へのファイル書き込みが可能になる。
この挙動は、パス・トラバーサル・シーケンスを取り込んだ、特殊な形式の multipart/form-data HTTP リクエストにより実行される。結果として、攻撃者は悪意の ASPX Web シェルをサーバのルート・ディレクトリにアップロードし、認証を必要としない完全な RCE を達成できる。
2025年10月10日にリリースされたビルド 9413 において、この脆弱性はサイレント・パッチされていた。しかし、シンガポールの Cyber Security Agency (CSA) による公式アドバイザリの公開は、2025年12月下旬までずれ込んだ。このタイムラグにより、修正プログラムの公開後においても、約 2.5 ヶ月間にわたり多くの利用者が脅威を認識できない状況が生じており、未公開でのパッチ運用に対する懸念が示されている。
これを受け、WatchTowr Labs が GitHub 上でリリースした Detection Artifact Generator は、ユーザー組織が脆弱性を特定し、検出ルールを構築できるよう支援するものだ。このツールは、新旧両方の Windows 環境において検証済みである。SmarterMail を運用している組織にとって必要なことは、直ちにビルド 9413 以降へとアップデートし、潜在的な悪用からシステムを保護することだ。
Microsoft Exchange の代替としても使われる SmarterMail において、CVSS:10.0 の脆弱性が発見されました。この問題の原因は、認証を必要としないファイルアップロード機能 “/api/upload” におけるパス・トラバーサルの脆弱性にあります。具体的には、アップロード時のパラメータ検証が不十分であるため、攻撃者が保存先を操作して、本来は許可されない Web フォルダなどに、悪意のあるプログラムを書き込めてしまう点にありました。これにより、ログイン情報がなくても、外部からサーバを自在に操作されるリスクが生じていました。ご利用のチームは、ご注意ください。よろしければ、SmarterMail での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.