Libraesva, nota azienda italiana nel settore della sicurezza delle email, ha recentemente segnalato una grave vulnerabilità nel suo prodotto Email Security Gateway (ESG). Questa falla, identificata come CVE-2025-59689 e classificata con un punteggio CVSS di 6.1, è stata oggetto di sfruttamento da parte di attori minacciosi sponsorizzati da stati stranieri. Il problema riguarda un difetto di command injection che può essere attivato tramite l’invio di un’email malevola contenente un allegato compresso creato ad arte.

Il meccanismo di attacco sfrutta un’inadeguata sanificazione durante la rimozione di codice attivo dai file presenti in alcuni formati di archivi compressi. In scenari concreti, un cybercriminale potrebbe inviare un’email con un archivio manipolato per sfruttare la logica di sanificazione debole dell’applicazione, ottenendo così la possibilità di eseguire comandi arbitrari su ESG come utente non privilegiato.

Versioni interessate e patch correttive

Le versioni di Libraesva ESG interessate dal problema sono quelle dalla 4.5 fino alla 5.5.x, ma precedenti alla 5.5.7. Le patch correttive sono già disponibili nelle versioni 5.0.31, 5.1.20, 5.2.31, 5.3.16, 5.4.8 e 5.5.7. È importante sottolineare che le versioni precedenti alla 5.0 non sono più supportate e richiedono un aggiornamento manuale a una release attualmente assistita.

Libraesva ha confermato almeno un caso di abuso di questa vulnerabilità, attribuendo l’attacco a un’entità ritenuta collegata a uno stato ostile estero. Sebbene non siano stati divulgati ulteriori dettagli sugli autori o sulle modalità precise di attacco, l’azienda sottolinea come la natura dell’incidente evidenzi la precisione operativa degli attori coinvolti e l’importanza di una risposta tempestiva. Infatti, Libraesva è riuscita a distribuire una correzione entro 17 ore dalla rilevazione dell’abuso.

Alla luce dello sfruttamento attivo di questa vulnerabilità, è fondamentale che tutti gli utenti di Libraesva Email Security Gateway aggiornino quanto prima le proprie istanze all’ultima versione disponibile. Mantenere il software costantemente aggiornato rappresenta uno degli strumenti più efficaci per prevenire attacchi informatici e proteggere la propria infrastruttura da minacce sempre più sofisticate, specialmente quando si tratta di minacce sponsorizzate da governi stranieri.