أصدرت وكالة الأمن السيبراني في سنغافورة (CSA) تحذيراً حول ثغرة أمنية ذات خطورة قصوى في برنامج البريد الإلكتروني SmarterMail، والتي يمكن استغلالها لتنفيذ تعليمات برمجية عن بعد.
تحمل هذه الثغرة، المعروفة بالرمز CVE-2025-52691، درجة CVSS تبلغ 10.0، وتشير إلى مشكلة في تحميل الملفات العشوائية قد تسمح بتنفيذ أكواد برمجية دون الحاجة إلى أي مصادقة.
ثغرة SmarterMail تنذر بمخاطر تنفيذ الأكواد عن بعد
يمكن للمهاجمين غير المصادق عليهم استغلال هذه الثغرة لتحميل ملفات عشوائية إلى أي موقع على خادم البريد. هذا بدوره قد يفتح الباب أمام تنفيذ تعليمات برمجية خبيثة عن بعد، بحسب ما أوضحت وكالة CSA.
عادةً ما تسمح الثغرات من هذا النوع بتحميل أنواع ملفات خطيرة تتم معالجتها تلقائياً ضمن بيئة التطبيق. يمكن أن يؤدي ذلك إلى تنفيذ تعليمات برمجية إذا تم تفسير الملف الذي تم تحميله وتنفيذه ككود، كما هو الحال مع ملفات PHP.
في سيناريو هجوم افتراضي، يمكن لمخترق استغلال هذه الثغرة لزرع برامج ضارة أو “ويب شيلز” يمكن تنفيذها بنفس امتيازات خدمة SmarterMail.
يعتبر SmarterMail بديلاً لحلول التعاون المؤسسي مثل Microsoft Exchange، حيث يقدم ميزات مثل البريد الإلكتروني الآمن، والتقويمات المشتركة، والمراسلة الفورية. وفقاً للمعلومات المتاحة، تستخدمه شركات استضافة الويب مثل ASPnix Web Hosting و Hostek و simplehosting.ch.
التحديثات والإصدارات المتأثرة
تؤثر الثغرة CVE-2025-52691 على إصدارات SmarterMail التي تصل إلى Build 9406 والإصدارات الأقدم. تم معالجة هذه الثغرة في الإصدار Build 9413، الذي تم إصداره في 9 أكتوبر 2025.
وساهم تشوا مينج هان من مركز تقنيات المعلومات الاستراتيجية (CSIT) في اكتشاف الثغرة والإبلاغ عنها.
على الرغم من أن الإشعار لا يذكر استغلال الثغرة على نطاق واسع في الوقت الحالي، إلا أن المستخدمين ينصحون بشدة بالتحديث إلى أحدث إصدار (Build 9483، الذي صدر في 18 ديسمبر 2025) لضمان أقصى درجات الحماية.
إن الوعي بهذه الثغرات واتخاذ الإجراءات الوقائية اللازمة، مثل التحديثات الدورية، يمثل خط الدفاع الأول ضد التهديدات السيبرانية المتزايدة.