Meer dan zevenduizend SmarterMail-servers, waaronder ongeveer veertig in Nederland, hebben geen beveiligingsupdate ontvangen voor een ernstig beveiligingslek. Dit lek stelt een aanvaller zonder authenticatie in staat om de server op afstand over te nemen, aldus The Shadowserver Foundation. SmarterMail is een mailserver en groupware-alternatief voor Microsoft Exchange, beschikbaar voor Windows en Linux. SmarterTools, de ontwikkelaar, bracht in oktober vorig jaar een update uit, maar vermeldde niet dat hiermee het beveiligingslek (CVE-2025-52691) was opgelost. Via dit lek kan een aanvaller willekeurige bestanden naar de server uploaden, wat kan leiden tot het uitvoeren van code op afstand. De kwetsbaarheid heeft een maximale impactscore van 10.0. De Singaporese overheid maakte op 29 december het bestaan van CVE-2025-52691 bekend.

Onderzoekers van watchTowr ontdekten dat SmarterTools de kwetsbaarheid had gepatcht in build 9413, uitgebracht op 10 oktober vorig jaar. Klanten zijn boos omdat deze informatie niet eerder werd gedeeld, zoals blijkt uit een forumdiscussie op de website van SmarterTools. Het bedrijf zegt dat het de informatie heeft achtergehouden om aanvallers niet te informeren en klanten de tijd te geven om de update te installeren. Na kritiek heeft SmarterTools een e-mail over de kwetsbaarheid naar klanten gestuurd. The Shadowserver Foundation onderzoekt kwetsbare systemen op internet. Gisteren vonden onderzoekers ongeveer 18.500 SmarterMail-servers online, waarvan 7600 de update voor CVE-2025-52691 niet hebben geïnstalleerd. De meeste van deze servers, ongeveer 5300, staan in de Verenigde Staten. In Nederland zijn er ongeveer veertig. Klanten melden op het forum dat hun servers zijn gecompromitteerd, maar het is onduidelijk of dit via het beveiligingslek is gebeurd. Er is inmiddels proof-of-concept exploitcode online verschenen.