CSA ចេញការជូនដំណឹងអំពីកំហុស SmarterMail ដ៏សំខាន់មួយដែលអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិតសិង្ហបុរី (CSA) បានចេញសេចក្តីព្រមានអំពីកំហុសសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតនៅក្នុងកម្មវិធីអ៊ីមែល SmarterTools SmarterMail ដែលអាចត្រូវបានគេកេងប្រវ័ញ្ចដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយ។

ភាពងាយរងគ្រោះនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-52691 មានពិន្ទុ CVSS 10.0។ វាទាក់ទងនឹងករណីនៃការផ្ទុកឡើងឯកសារតាមអំពើចិត្ត ដែលអាចអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដដោយមិនចាំបាច់មានការផ្ទៀងផ្ទាត់ណាមួយឡើយ។

CSA បាននិយាយថា "ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដោយជោគជ័យអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ផ្ទុកឡើងឯកសារតាមអំពើចិត្តទៅកាន់ទីតាំងណាមួយនៅលើម៉ាស៊ីនបម្រើសំបុត្រ ដែលអាចអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ"។

ភាពងាយរងគ្រោះប្រភេទនេះអនុញ្ញាតឱ្យមានការផ្ទុកឡើងនៃប្រភេទឯកសារគ្រោះថ្នាក់ដែលត្រូវបានដំណើរការដោយស្វ័យប្រវត្តិនៅក្នុងបរិស្ថានរបស់កម្មវិធី។ នេះអាចបើកផ្លូវសម្រាប់ការប្រតិបត្តិកូដ ប្រសិនបើឯកសារដែលបានផ្ទុកឡើងត្រូវបានបកស្រាយ និងប្រតិបត្តិជាកូដ ដូចករណីជាមួយឯកសារ PHP។

នៅក្នុងសេណារីយ៉ូវាយប្រហារសម្មតិកម្ម ជនអាក្រក់ម្នាក់អាចប្រើប្រាស់ភាពងាយរងគ្រោះនេះដើម្បីដាក់ប្រព័ន្ធគោលពីរដែលមានគំនិតអាក្រក់ ឬសែលគេហទំព័រដែលអាចត្រូវបានប្រតិបត្តិដោយសិទ្ធិដូចគ្នានឹងសេវាកម្ម SmarterMail។

SmarterMail គឺជាជម្រើសមួយជំនួសឱ្យដំណោះស្រាយសហការសហគ្រាសដូចជា Microsoft Exchange ដែលផ្តល់ជូននូវលក្ខណៈពិសេសដូចជាអ៊ីមែលដែលមានសុវត្ថិភាព ប្រតិទិនដែលបានចែករំលែក និងការផ្ញើសារភ្លាមៗ។ យោងតាមព័ត៌មានដែលបានរាយបញ្ជីនៅលើគេហទំព័រ វាត្រូវបានប្រើប្រាស់ដោយអ្នកផ្តល់សេវាបង្ហោះគេហទំព័រដូចជា ASPnix Web Hosting, Hostek និង simplehosting.ch។

CVE-2025-52691 ប៉ះពាល់ដល់កំណែ SmarterMail Build 9406 និងមុននេះ។ វាត្រូវបានដោះស្រាយនៅក្នុង Build 9413 ដែលត្រូវបានចេញផ្សាយនៅថ្ងៃទី 9 ខែតុលា ឆ្នាំ 2025។

CSA បានសរសើរ Chua Meng Han មកពីមជ្ឈមណ្ឌលសម្រាប់បច្ចេកវិទ្យាព័ត៌មានយុទ្ធសាស្ត្រ (CSIT) សម្រាប់ការរកឃើញ និងរាយការណ៍ពីភាពងាយរងគ្រោះ។

ខណៈពេលដែលការណែនាំមិនបាននិយាយអំពីកំហុសដែលកំពុងត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងធម្មជាតិ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពទៅកំណែចុងក្រោយបំផុត (Build 9483 ចេញផ្សាយនៅថ្ងៃទី 18 ខែធ្នូ ឆ្នាំ 2025) សម្រាប់ការការពារដ៏ល្អប្រសើរ។