文章总结： 本文详细分析了SmarterMailCVE-2025-52691认证前RCE漏洞，攻击者利用未授权文件上传接口及可控guid参数的路径遍历缺陷，实现任意文件写入。该满分CVSS漏洞曾被厂商静默修补两个月。建议受影响用户立即更新至最新版本，并利用提供的检测脚本排查资产风险。 综合评分： 98 文章分类： 漏洞分析,漏洞POC,WEB安全,红队,漏洞预警

再次用文字解释一下：

• 将context参数设置为attachment，以便进入存在漏洞的代码路径。
• resumableFilename参数包含一个具有.aspx扩展名的文件名。
• contextData参数值包含一个guid键，利用它来实施路径遍历攻击。
• 文件上传部分包含Web Shell有效负载。

为了加倍确认，可以调试GenerateFileNameAndLocation方法，并验证是否成功利用了路径遍历：

可能会注意到，代码会在文件名后附加一个整数，不过这并非大问题，因为最终的文件名就包含在HTTP响应中：

{
  "key": "att_dag/../../../../../../../../../../../../../../../inetpub/wwwroot/watchtowr_0.aspx",
  "fileName": "fakefile.aspx"
}

最终，Web Shell成功上传，可以“享受”这个已悄悄修复三个月之久的RCE漏洞了。

另外，SmarterMail似乎会使用ClamAV扫描所有附件，如下方截图所示。

然而，要么是ClamAV无法识别基本的Web Shell有效负载（有可能），要么是SmarterMail无法处理ClamAV的扫描结果。真有趣。

检测证据生成器

秉承一贯风格，研究团队提供了检测证据生成器，以帮助组织评估其暴露风险并构建检测规则。你可在此仓库找到它。该生成器已针对以下环境验证：

• 基于Windows的安装，结合

• 新版构建（94xx）或旧版构建（16）

  

（不，研究团队并未测试SmarterMail的每一个历史版本）

• END –

感谢阅读，如果觉得还不错的话，动动手指一键三连～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事《揭秘 SmarterMail 沉寂三个月后才公开的“满分”RCE 漏洞》