SmarterTools SmarterMail w wersjach wcześniejszych niż build 9511 zawiera krytyczną podatność authentication bypass w API resetowania hasła, umożliwiającą przejęcie konta administratora systemu bez żadnych poświadczeń. Podatność jest aktywnie exploitowana i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
SmarterTools SmarterMail versions prior to build 9511 contain an authentication bypass vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. An unauthenticated attacker can supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance. NOTE: SmarterMail system administrator privileges grant the ability to execute operating system commands via built-in management functionality, effectively providing administrative (SYSTEM or root) access on the underlying host.
Endpoint force-reset-password przyjmuje anonimowe żądania bez weryfikacji istniejącego hasła ani tokenu resetującego. Atakujący może wysłać żądanie do tego endpointu podając jedynie nazwę użytkownika administratora oraz nowe, dowolnie wybrane hasło. Na skutek braku jakiejkolwiek weryfikacji tożsamości (CWE-288 — Authentication Bypass Using an Alternate Path or Channel) hasło konta administratora zostaje natychmiast zmienione na wskazane przez atakującego.
Atakujący uzyskuje pełną kontrolę administracyjną nad instancją SmarterMail, a ponieważ uprawnienia administratora systemu SmarterMail umożliwiają wykonywanie poleceń systemu operacyjnego poprzez wbudowane funkcje zarządzania, skuteczny atak prowadzi do uzyskania dostępu na poziomie SYSTEM lub root na serwerze hosta.
Należy niezwłocznie zaktualizować SmarterMail do buildu 9511 lub nowszego zgodnie z oficjalnymi informacjami producenta dostępnymi na stronie release notes SmarterTools. Ze względu na aktywne exploitowanie podatności aktualizacja powinna zostać przeprowadzona natychmiastowo; do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do panelu administracyjnego SmarterMail oraz endpointu force-reset-password na poziomie firewall.
SmarterTools SmarterMail we wszystkich wersjach wcześniejszych niż build 9511
Podatność została upubliczniona przez badaczy z Code White oraz watchTowr Labs (identyfikator wewnętrzny WT-2026-0001). Szczególne ryzyko wynika z faktu, że exploit nie wymaga żadnych poświadczeń ani wcześniejszego dostępu — wystarczy znajomość nazwy konta administratora.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XSmartertools Smartermail
APPSmartertools< 100.0.9511
CISA KEV — szczegółyi
- Dostawcai
- SmarterTools ↗
- Produkti
- SmarterMail
- Data dodania do KEVi
- 26 stycznia 2026
- Termin remediation (USA)i
- 16 lutego 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SmarterTools SmarterMail zawiera lukę polegającą na obejściu uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w API resetowania hasła. Endpoint force-reset-password akceptuje anonimowe żądania i nie weryfikuje istniejącego hasła ani tokenu resetowania podczas resetowania kont administratorów systemowych. Umożliwia to nieuwierzytelnionemu atakującemu podanie nazwy administratora docelowego i nowego hasła w celu zresetowania konta, co może skutkować pełnym przejęciem uprawnień administracyjnych instancji SmarterMail.
▸ Pokaż oryginał (EN)
SmarterTools SmarterMail contains an authentication bypass using an alternate path or channel vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. This could allow an unauthenticated attacker to supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance.
Powiązane podatności
SmarterMail – nieuwierzytelnione RCE przez ConnectToHub API
Nieautoryzowany upload plików i RCE w SmarterMail (SmarterTools)
SmarterTools SmarterMail 16.x through 100.x before 100.0.7803 allows remote code execution.
SmarterTools SmarterMail 16.x before build 6985 allows deserialization of untrusted data. An unauthenticated a...
SmarterTools SmarterMail builds prior to 9560 contain a local file inclusion vulnerability in the /api/v1/repo...