Atualização de segurança da Libraesva corrige vulnerabilidade em ESG
A Libraesva, empresa italiana de segurança de e-mails, lançou uma atualização crítica para seu Email Security Gateway (ESG) após identificar uma vulnerabilidade, classificada como CVE-2025-59689, que pode ser explorada por agentes de ameaças patrocinados por estados. A falha, que possui uma pontuação CVSS de 6.1, é um erro de injeção de comando que pode ser ativado por e-mails maliciosos contendo anexos comprimidos especialmente elaborados. Essa vulnerabilidade permite a execução de comandos arbitrários por usuários não privilegiados devido à sanitização inadequada durante a remoção de códigos ativos de arquivos em certos formatos de arquivo comprimido. A Libraesva confirmou um incidente de abuso relacionado a essa falha, atribuído a um ator de estado hostil estrangeiro, e destacou a importância de uma rápida implementação de patches, tendo corrigido a falha em menos de 17 horas após a detecção do problema. As versões afetadas vão da 4.5 até a 5.5.x antes da 5.5.7, e os usuários são aconselhados a atualizar suas instâncias imediatamente para mitigar riscos potenciais.