Libraesva Email Security Gateway (ESG) es una solución de seguridad de correo electrónico utilizada por empresas para filtrar spam, bloquear intentos de phishing y proporcionar protección multinivel contra amenazas transmitidas por correo electrónico. La vulnerabilidad identificada como CVE-2025-59689 permite a un atacante ejecutar comandos shell arbitrarios de forma remota como usuario no privilegiado, sin necesidad de autenticación.
La vulnerabilidad afecta a las versiones de Libraesva ESG desde la 4.5 hasta la 5.5.x (anteriores a las versiones correctivas). Dado que se han confirmado casos de explotación activa y la vulnerabilidad ha sido añadida al catálogo de vulnerabilidades explotadas conocidas de la CISA, es fundamental aplicar los parches disponibles de inmediato.
| Fecha | 2025-10-07 13:30:31 |
Resumen técnico
La vulnerabilidad es una inyección de comandos activada por un archivo adjunto comprimido especialmente diseñado. La causa subyacente es una “sanitización inadecuada durante la eliminación de código activo de archivos contenidos en ciertos formatos de archivos comprimidos”.
El dispositivo ESG inspecciona y procesa archivos comprimidos (ZIP/tar/gz y similares) incorporados en los correos electrónicos entrantes con el fin de eliminar o neutralizar contenido activo (scripts, ejecutables, etc.). Durante esta canalización de sanitización, el producto aceptaba datos controlados por el atacante provenientes del archivo (nombres de archivos y/o contenidos de archivos) y los utilizaba en un contexto donde se producía una interpolación por parte de la shell o una llamada externa insegura, permitiendo así al atacante inyectar comandos que el proceso ESG ejecutaba como usuario local no privilegiado.
Recomendaciones
- Aplicar el parche inmediatamente: A continuación se detallan las versiones correctivas correspondientes según la versión de ESG:
| Versión ESG | Versión con la corrección |
|---|---|
| 5.0 | 5.0.31 |
| 5.1 | 5.1.20 |
| 5.2 | 5.2.31 |
| 5.3 | 5.3.16 |
| 5.4 | 5.4.8 |
| 5.5 | 5.5.7 |
Escaneo de IoC: El parche incluye un escaneo automático de indicadores de compromiso (IoC) y un módulo de autoverificación que se ejecuta en todos los dispositivos afectados para comprobar la integridad del parche y detectar posibles amenazas residuales.
Monitoreo: Analizar los registros del gateway de correo electrónico en busca de archivos adjuntos comprimidos sospechosos.
[Callforaction-THREAT-Footer]