La Agencia de Seguridad Cibernética de Singapur (CSA) ha emitido un boletín que advierte de una falla de seguridad de máxima gravedad en SmarterTools Correo más inteligente software de correo electrónico que podría explotarse para lograr la ejecución remota de código.

La vulnerabilidad, rastreada como CVE-2025-52691 , tiene una puntuación CVSS de 10,0. Se refiere a un caso de carga arbitraria de archivos que podría permitir la ejecución de código sin necesidad de autenticación.

«La explotación exitosa de la vulnerabilidad podría permitir a un atacante no autenticado subir archivos arbitrarios a cualquier ubicación del servidor de correo, lo que podría permitir la ejecución remota de código», afirma la CSA.

Las vulnerabilidades de este tipo permiten cargar tipos de archivos peligrosos que se procesan automáticamente en el entorno de una aplicación. Esto podría allanar el camino para la ejecución de código si el archivo cargado se interpreta y ejecuta como código, como es el caso de los archivos PHP.

En un escenario hipotético de ataque, un actor malintencionado podría convertir esta vulnerabilidad en un arma para colocar archivos binarios o web shells maliciosos que podrían ejecutarse con los mismos privilegios que el servicio SmarterMail.

SmarterMail es una alternativa a las soluciones de colaboración empresarial como Microsoft Exchange, que ofrece funciones como correo electrónico seguro, calendarios compartidos y mensajería instantánea. Según la información listados en el sitio web , lo utilizan proveedores de alojamiento web como ASPnix Web Hosting, Hostek y simplehosting.ch.

El CVE-2025-52691 afecta a las versiones Build 9406 y anteriores de SmarterMail. Se ha abordado en Construir 9413 , que se estrenó el 9 de octubre de 2025.

La CSA acreditó a Chua Meng Han, del Centro de Tecnologías Estratégicas de Infocomunicación (CSIT), por descubrir y denunciar la vulnerabilidad.

Si bien el aviso no menciona que la falla esté siendo explotada en la naturaleza, se recomienda a los usuarios que actualicen a la última versión (Build 9483, lanzada el 18 de diciembre de 2025) para una protección óptima.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.