Libraesva ha publicado una aggiornamento de seguridad para acometer una vulnerabilidad en su alternativa de Gateway de seguridad de correo electrónico (ESG) que, según los actores de amenazas patrocinados por el estado.
La vulnerabilidad, rastreada como CVE-2025-59689lleva una puntuación CVSS de 6.1, lo que indica pesadez de medio.
«Libraesva ESG se ve afectado por una error de inyección de comandos que puede ser activado por un correo electrónico desconfiado que contiene un archivo adjunto comprimido especialmente cuidado, lo que permite la ejecución potencial de comandos arbitrarios como un legatario no privilegiado», dijo Libraesva en un asesoramiento.
«Esto ocurre conveniente a una desinfección inadecuada durante la aniquilación del código activo de los archivos contenidos en algunos formatos de archivo comprimidos».
En un atmósfera de ataque hipotético, un atacante podría explotar el defecto enviando un correo electrónico que contiene un archivo comprimido especialmente cuidado, lo que permite a un actor de amenaza emplear la dialéctica de desinfección incorrecta de la aplicación para que finalmente ejecute comandos de shell arbitrarios.
La deficiencia afecta las versiones de Libraesva ESG 4.5 a 5.5.x ayer de 5.5.7, con correcciones lanzadas en 5.0.31, 5.1.20, 5.2.31, 5.3.16, 5.4.8 y 5.5.7. Libraesva señaló en la alerta que las versiones por debajo de 5.0 han escaso el fin de apoyo y deben actualizarse manualmente a una traducción compatible.
La compañía de seguridad de correo electrónico italiana igualmente reconoció que ha identificado un incidente confirmado de injusticia, y que el actor de amenaza «se cree que es una entidad estatal hostil extranjera». No compartió más detalles sobre la naturaleza de la actividad, o quién puede estar detrás de ella.
«El enfoque de una sola supervisión subraya la precisión del actor de amenaza (que se cree que es un estado hostil extranjero) y destaca la importancia del despliegue de parche rápido e integral», dijo Libraesva, y agregó que desplegó una alternativa interiormente de las 17 horas posteriores a la señalización del injusticia.
A la luz de la explotación activa, es esencial que los usuarios del software ESG actualicen sus instancias a la última traducción lo ayer posible para mitigar las posibles amenazas.
