Libraesva Email Security Gateway (ESG) est une solution de sécurité de messagerie utilisée par les entreprises pour filtrer le spam, bloquer les tentatives de phishing et fournir une protection multicouche contre les menaces transmises par e-mail. La vulnérabilité identifiée sous le nom de CVE-2025-59689 permet à un attaquant d’exécuter des commandes shell arbitraires à distance en tant qu’utilisateur non privilégié, sans nécessité d’authentification.
La vulnérabilité affecte les versions de Libraesva ESG de la 4.5 à la 5.5.x (antérieures aux versions correctives). Étant donné que des cas d’exploitation active ont été confirmés et que la vulnérabilité a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA, il est crucial d’appliquer immédiatement les correctifs disponibles.
| Date | 07/10/2025 13:30:31 |
Résumé technique
La vulnérabilité est une injection de commandes déclenchée par une pièce jointe compressée spécialement conçue. La cause sous-jacente est une « désinfection inadéquate lors de la suppression de code actif à partir de fichiers contenus dans certains formats d’archives compressées ».
Le dispositif ESG inspecte et traite les archives compressées (ZIP/tar/gz et similaires) intégrées dans les e-mails entrants afin de supprimer ou de neutraliser les contenus actifs (scripts, exécutables, etc.). Au cours de ce pipeline de désinfection, le produit acceptait des données contrôlées par l’attaquant provenant de l’archive (noms de fichiers et/ou contenus de fichiers) et les utilisait dans un contexte où une interpolation par le shell ou un appel externe non sécurisé se produisait, permettant ainsi à l’attaquant d’injecter des commandes que le processus ESG exécutait en tant qu’utilisateur local non privilégié.
Recommandations
- Appliquer immédiatement le correctif : Voici les versions correctives correspondantes selon la version ESG :
| Version ESG | Version avec correctif |
|---|---|
| 5.0 | 5.0.31 |
| 5.1 | 5.1.20 |
| 5.2 | 5.2.31 |
| 5.3 | 5.3.16 |
| 5.4 | 5.4.8 |
| 5.5 | 5.5.7 |
Analyse des IoC : Le correctif inclut une analyse automatique des indicateurs de compromission (IoC) et un module d’auto-vérification qui s’exécute sur tous les appareils concernés pour vérifier l’intégrité du correctif et détecter toute menace résiduelle.
Surveillance : Analyser les journaux de la passerelle de messagerie à la recherche de pièces jointes compressées suspectes.
[Callforaction-THREAT-Footer]
Leave a Reply