文章总结： SmarterMail存在未授权文件上传漏洞CVE-2025-52691，评分10分。攻击者无需认证即可上传恶意文件执行代码，完全控制服务器。影响版本为9406及以下，官方已发布9413及以上版本修复补丁。建议用户立即升级版本，并加强系统访问控制与密码策略以降低风险。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,解决方案

【漏洞通告】SmarterMail 未授权文件上传漏洞(CVE-2025-52691)

启明星辰安全简讯

2025年12月30日 17:05 北京

一、漏洞概述

| | | | | | — | — | — | — | | 漏洞名称 | SmarterMail 未授权文件上传漏洞 | | | | CVE ID | CVE-2025-52691 | | | | 漏洞类型 | 任意文件上传 | 发现时间 | 2025-12-30 | | 漏洞评分 | 10 | 漏洞等级 | 严重 | | 攻击向量 | 网络 | 所需权限 | 无 | | 利用难度 | 低 | 用户交互 | 不需要 | | PoC/EXP | 已公开 | 在野利用 | 未发现 |

SmarterMail是SmarterTools公司推出的一款基于Windows平台的邮件服务器软件，支持SMTP、POP3、IMAP及WebMail等核心邮件功能，广泛应用于中小企业和自建邮件系统场景。该产品提供反垃圾邮件、防病毒、多域管理和用户权限控制等能力，以部署灵活、授权成本相对较低为特点，但对运维与安全配置要求较高。

2025年12月30日，启明星辰集团VSRC监测到SmarterMail存在未授权文件上传漏洞。漏洞成因在于服务器对文件上传过程中的安全校验不足，导致攻击者在无需任何身份认证的情况下，即可向邮件服务器任意路径上传恶意文件。若被成功利用，攻击者可能进一步执行任意代码，从而完全控制服务器，造成邮件数据泄露、系统被植入后门或业务服务中断等严重后果，漏洞评分10分，漏洞级别严重。

二、影响范围

SmarterMail <= 9406

三、安全措施

3.1 升级版本

官方已发布修复补丁，以修复该漏洞。

SmarterMail >= 9413

下载链接：

https://www.smartertools.com/smartermail/downloads/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-124/

https://nvd.nist.gov/vuln/detail/CVE-2025-52691

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：启明星辰安全简讯 《【漏洞通告】SmarterMail 未授权文件上传漏洞(CVE-2025-52691)》