# CVE-2025-52691 - Upload de Arquivo Arbitrário com RCE no SmarterMail (CVSS 10.0) > [!critical] > Vulnerabilidade crítica de upload de arquivo arbitrário sem autenticação no SmarterMail da SmarterTools permite execução remota de código com comprometimento total do servidor de e-mail. CVSS 10.0 - pontuação máxima, sem autenticação, sem interação do usuário. Adicionada ao CISA KEV em janeiro de 2026. ## Visão Geral O CVE-2025-52691 é uma vulnerabilidade de upload irrestrito de arquivo (CWE-434) no [[_smartertools|SmarterMail]], um servidor de e-mail corporativo desenvolvido pela [[_smartertools|SmarterTools]]. A falha permite que atacantes remotos não autenticados façam upload de arquivos arbitrários para localizações no sistema de arquivos do servidor, levando à execução remota de código (RCE) completa. Com pontuação CVSS de 10.0 - o máximo possível - e sem exigência de autenticação ou interação do usuário, esta é uma das vulnerabilidades de maior criticidade já atribuída ao produto. Servidores de e-mail corporativos são alvos de alto valor para atores maliciosos por múltiplas razões: armazenam comúnicações confidenciais, credenciais de usuários e dados de negócios; são frequentemente expostos à Internet para receber e-mails; e comprometê-los permite interceptação de tráfego de e-mail, phishing interno e acesso a autenticações baseadas em e-mail (como reset de senhas e MFA por e-mail). O SmarterMail é amplamente utilizado por provedores de hospedagem, empresas de médio porte e ISPs. A vulnerabilidade afeta builds até 9406 e foi corrigida no build 9413. Ela foi adicionada ao catálogo CISA KEV em 27 de janeiro de 2026, como parte de uma atualização que incluiu mais quatro CVEs críticos. A complexidade de exploração extremamente baixa e a ausência de qualquer pré-requisito tornam esta vulnerabilidade alvo imediato de exploração automatizada e em larga escala. ## Produtos Afetados | Produto | Vendor | Builds Vulneráveis | Build Corrigido | |---------|--------|-------------------|----------------| | SmarterMail | SmarterTools | Build 9406 e anteriores | Build 9413 | ## Detalhes Técnicos O SmarterMail não implementa válidação adequada de arquivos enviados através de determinados endpoints da aplicação web. Um atacante não autenticado pode enviar requisições HTTP especialmente criadas para fazer upload de arquivos executáveis (scripts ASP.NET, webshells) para localizações arbitrárias no sistema de arquivos do servidor web, que são então executados pelo servidor de aplicação. **Vetor de ataque:** Rede (remoto, sem autenticação, sem interação do usuário) **CVSS 3.1:** 10.0 Critical (pontuação máxima) **Impacto:** Comprometimento completo da confidencialidade, integridade e disponibilidade do servidor **CWE:** CWE-434 (Unrestricted Upload of File with Dangerous Type) **Consequências da exploração bem-sucedida:** - Execução arbitrária de comandos com privilégios do servidor SmarterMail - Acesso a todos os e-mails armazenados de todos os usuários - Acesso a credenciais SMTP/IMAP/POP3 de usuários - Capacidade de enviar e-mails como qualquer usuário da plataforma (facilitando phishing interno) - Movimento lateral na rede a partir do servidor de e-mail comprometido - Possibilidade de desabilitar filtros de spam/malware do próprio servidor ## Mitigação 1. **Atualizar imediatamente** para o SmarterMail Build 9413 ou superior 2. **Isolamento emergêncial** - Se a atualização imediata não for viável, restringir acesso à interface web de administração do SmarterMail por IP ou desconectar temporariamente da Internet 3. **Verificar comprometimento** - Auditar arquivos recentemente criados no webroot do servidor SmarterMail, especialmente arquivos .aspx, .asp ou .php suspeitos 4. **Revisar logs de acesso** - Verificar logs do servidor web para requisições POST anômalas a endpoints de upload 5. **Rotacionar credenciais** - Após atualizar, forçar reset de senha de todos os usuários e revisar as credenciais de contas de serviço que se autenticam via e-mail > [!latam] > Servidores de e-mail são infraestrutura crítica para qualquer organização. No Brasil e LATAM, muitas pequenas e médias empresas, ISPs e provedores de hospedagem utilizam soluções de e-mail auto-hospedadas como o SmarterMail. Um servidor de e-mail comprometido pode ser usado para interceptar redefinições de senha de banking online, ataques BEC (Business Email Compromise) - que causaram prejuízos bilionários a empresas brasileiras em 2024-2025 - e phishing direcionado utilizando a identidade da organização. Organizações no setor financeiro e de tecnologia devem verificar urgentemente se utilizam SmarterMail e aplicar o patch imediatamente. ## Indicadores de Comprometimento > [!ioc]- IOCs - SmarterMail CVE-2025-52691 (TLP:CLEAR) > **Artefatos no host (verificar no webroot do SmarterMail):** > - Arquivos .aspx ou .asp criados recentemente em diretórios incomuns > - Processos inesperados iniciados pelo processo w3wp.exe (IIS) > > **Comportamento de rede:** > - Requisições HTTP POST para endpoints de upload não documentados > - Conexões de saída incomuns do servidor de e-mail para IPs externos > > **Fontes:** [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [The Cyber Throne Analysis](https://thecyberthrone.in/2026/01/27/cisa-kev-catalog-update-5-vulnerabilities-added/) ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Mitigações:** [[m1051-update-software|M1051 - Atualização de Software]] · [[m1030-network-segmentation|M1030 - Segmentação de Rede]] **Setores em risco:** [[financial]] · [[technology]] **Vendor:** [[_smartertools|SmarterTools]] ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-52691) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [The Cyber Throne KEV Analysis](https://thecyberthrone.in/2026/01/27/cisa-kev-catalog-update-5-vulnerabilities-added/) - [SmarterTools Release Notes](https://www.smartertools.com/smartermail/release-notes)