CVE-2025-52691

Суть уязвимости

Уязвимость CVE-2025-52691 в SmarterTools SmarterMail классифицируется как загрузка файлов опасного типа без ограничений (Unrestricted File Upload). Проблема заключается в недостаточной валидации расширений файлов и отсутствии строгой фильтрации путей сохранения при обработке входящих запросов. Это позволяет неаутентифицированному злоумышленнику обойти механизмы защиты и загрузить вредоносные файлы (например, веб-шеллы с расширениями .aspx, .ashx или исполняемые файлы) в любую директорию на сервере, включая веб-корень приложения. Успешная эксплуатация данной уязвимости приводит к удаленному выполнению произвольного кода (RCE), что позволяет атакующему полностью скомпрометировать почтовый сервер, получить доступ к конфиденциальной переписке и использовать сервер как точку входа во внутреннюю инфраструктуру компании.

Как исправить

Единственным гарантированным способом устранения данной уязвимости является установка официального исправления от вендора. 1. Запланируйте технологическое окно для проведения работ по обновлению. 2. Создайте полный бэкап сервера (снапшот виртуальной машины) и резервную копию конфигурационных файлов SmarterMail. 3. Перейдите на официальный сайт SmarterTools и скачайте последнюю версию продукта, содержащую патч для CVE-2025-52691. 4. Остановите службу SmarterMail Service для предотвращения конфликтов при записи файлов:

Stop-Service -Name "SmarterMail" -Force

1. Запустите скачанный установщик и выполните процедуру обновления (In-Place Upgrade), следуя инструкциям мастера установки.
2. После завершения установки запустите службу:

Start-Service -Name "SmarterMail"

1. Проверьте логи приложения и убедитесь, что почтовый трафик обрабатывается корректно.

Временные меры

Если немедленное обновление невозможно, необходимо внедрить компенсирующие меры защиты для снижения риска эксплуатации: 1. Настройка Web Application Firewall (WAF): Внедрите строгие правила WAF для инспекции POST-запросов и блокировки попыток загрузки файлов с опасными расширениями (.aspx, .ashx, .config, .exe, .dll, .ps1). Настройте блокировку запросов, содержащих паттерны обхода каталогов (Path Traversal), такие как ../, ..\, %2e%2e%2f, %2e%2e%5c. 2. Ограничение прав на уровне файловой системы (NTFS): Проведите аудит прав доступа для учетной записи, под которой работает служба SmarterMail. Ограничьте права на запись (Write) только теми директориями, где это абсолютно необходимо (например, папки для логов и временных файлов). Запретите права на выполнение (Execute) в директориях, предназначенных для хранения пользовательских вложений и загрузок. Пример команды для запрета выполнения (скорректируйте путь согласно вашей конфигурации):

icacls "C:\SmarterMail\Domains" /deny "NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(RX)"

1. Сетевое сегментирование: Ограничьте доступ к веб-интерфейсу SmarterMail (особенно к административным панелям) на уровне межсетевого экрана, разрешив подключения только с доверенных IP-адресов корпоративной сети или VPN.
2. Усиленный мониторинг (EDR/SIEM): Настройте алерты на создание новых исполняемых файлов или скриптов в директориях установки SmarterMail. Отслеживайте запуск подозрительных дочерних процессов (например, cmd.exe, powershell.exe) от имени рабочего процесса SmarterMail.