Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en SmarterTools SmarterMail, catalogada como CVE-2025-52691. La falla afecta la ruta /api/upload mediante un método de carga de archivos vulnerable a traversal de rutas, permitiendo a atacantes subir archivos maliciosos y lograr ejecución remota completa. El impacto es severo con un puntaje CVSS de 10.0. Se recomienda verificar la exposición utilizando herramientas específicas y actualizar de inmediato a la build 9413 o superior.
CVE y severidad
| CVE | CVSS Base | Severidad | Tipo de vulnerabilidad | Versiones afectadas |
|---|---|---|---|---|
| CVE-2025-52691 | 10.0 (Crítica) | Crítica | Ejecutación remota de código pre-autenticación | Build 9406 y anteriores |
Productos afectados
SmarterTools SmarterMail en versiones Build 9406 y anteriores para Microsoft Windows y Linux.
Solución
Actualizar a SmarterMail build 9413 o superior.
Recomendaciones
Priorizar la actualización inmediata a la build corregida para reducir el riesgo de explotación; validar tras aplicar la actualización que no persistan servicios vulnerables y monitorizar accesos inusuales en los servidores de correo afectados.