كشفت وكالة الأمن السيبراني في سنغافورة عن ثغرة أمنية بالغة الخطورة في برنامج SmarterMail للبريد الإلكتروني، حصلت على درجة خطورة قصوى 10.0 من 10، وتسمح للمهاجمين بتنفيذ أكواد خبيثة عن بُعد دون الحاجة لأي صلاحيات.
ما هي ثغرة CVE-2025-52691 في SmarterMail؟
الثغرة المُكتشفة تحمل الرمز CVE-2025-52691 وتتعلق برفع ملفات عشوائية إلى السيرفر دون مصادقة. حسب تيكبامين، يمكن للمهاجم استغلال هذه الثغرة لرفع ملفات خبيثة إلى أي موقع على خادم البريد الإلكتروني.
تسمح الثغرة برفع أنواع خطيرة من الملفات مثل ملفات PHP التي يتم تنفيذها تلقائياً في بيئة التطبيق، مما يفتح الباب أمام تنفيذ أكواد ضارة بصلاحيات خدمة SmarterMail نفسها.
كيف يمكن استغلال الثغرة الأمنية؟
في سيناريو هجوم افتراضي، يستطيع المخترق استغلال هذه الثغرة لزرع برمجيات خبيثة أو ما يُعرف بـ Web Shells على السيرفر. هذه الأدوات تمنحه سيطرة كاملة على الخادم بنفس صلاحيات البرنامج.
الخطورة تكمن في عدم الحاجة لأي بيانات دخول أو مصادقة، مما يجعل جميع السيرفرات المُعرضة هدفاً سهلاً للقراصنة.
ما هو برنامج SmarterMail وأين يُستخدم؟
SmarterMail هو بديل لحلول التعاون المؤسسي مثل Microsoft Exchange، ويقدم ميزات متقدمة:
- البريد الإلكتروني الآمن والمشفر
- التقويمات المشتركة بين الفرق
- المراسلة الفورية الداخلية
- أدوات إدارة المهام والتعاون
يُستخدم البرنامج من قبل شركات استضافة شهيرة مثل ASPnix Web Hosting وHostek وsimplehosting.ch، مما يعني أن آلاف السيرفرات قد تكون مُعرضة للخطر.
هل تم إصلاح الثغرة الأمنية؟
تؤثر الثغرة على إصدارات SmarterMail حتى Build 9406. وقد أصدرت الشركة المطورة تحديث Build 9413 في 9 أكتوبر 2025 لإصلاح المشكلة.
لكن وكالة الأمن السيبراني السنغافورية توصي بالترقية للإصدار الأحدث Build 9483 الصادر في 18 ديسمبر 2025 للحصول على أقصى حماية ممكنة.
من اكتشف الثغرة وهل تم استغلالها؟
اكتشف الثغرة الباحث الأمني Chua Meng Han من مركز التقنيات الاستراتيجية للمعلومات (CSIT) في سنغافورة وأبلغ عنها بشكل مسؤول.
حتى الآن، لا توجد تقارير مؤكدة عن استغلال الثغرة في هجمات فعلية، لكن الخطورة القصوى تستدعي التحديث الفوري لجميع المستخدمين قبل أن يستغلها القراصنة.
ينصح خبراء الأمن السيبراني بضرورة تحديث جميع أنظمة SmarterMail فوراً، خاصة للشركات ومزودي الاستضافة الذين يديرون بيانات حساسة لعملائهم.
