CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-23760

Pominięcie uwierzytelnienia w API resetowania hasła SmarterMail

CVSS 9.3v4.0pub. 2026-01-22upd. 2026-01-27

SmarterTools SmarterMail w wersjach wcześniejszych niż build 9511 zawiera krytyczną podatność authentication bypass w API resetowania hasła, umożliwiającą przejęcie konta administratora systemu bez żadnych poświadczeń. Podatność jest aktywnie exploitowana i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

SmarterTools SmarterMail versions prior to build 9511 contain an authentication bypass vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. An unauthenticated attacker can supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance. NOTE: SmarterMail system administrator privileges grant the ability to execute operating system commands via built-in management functionality, effectively providing administrative (SYSTEM or root) access on the underlying host.

🤖 Analiza AI
Jak działa

Endpoint force-reset-password przyjmuje anonimowe żądania bez weryfikacji istniejącego hasła ani tokenu resetującego. Atakujący może wysłać żądanie do tego endpointu podając jedynie nazwę użytkownika administratora oraz nowe, dowolnie wybrane hasło. Na skutek braku jakiejkolwiek weryfikacji tożsamości (CWE-288 — Authentication Bypass Using an Alternate Path or Channel) hasło konta administratora zostaje natychmiast zmienione na wskazane przez atakującego.

Skutki

Atakujący uzyskuje pełną kontrolę administracyjną nad instancją SmarterMail, a ponieważ uprawnienia administratora systemu SmarterMail umożliwiają wykonywanie poleceń systemu operacyjnego poprzez wbudowane funkcje zarządzania, skuteczny atak prowadzi do uzyskania dostępu na poziomie SYSTEM lub root na serwerze hosta.

Mitygacja

Należy niezwłocznie zaktualizować SmarterMail do buildu 9511 lub nowszego zgodnie z oficjalnymi informacjami producenta dostępnymi na stronie release notes SmarterTools. Ze względu na aktywne exploitowanie podatności aktualizacja powinna zostać przeprowadzona natychmiastowo; do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do panelu administracyjnego SmarterMail oraz endpointu force-reset-password na poziomie firewall.

Kogo dotyczy

SmarterTools SmarterMail we wszystkich wersjach wcześniejszych niż build 9511

Uwagi

Podatność została upubliczniona przez badaczy z Code White oraz watchTowr Labs (identyfikator wewnętrzny WT-2026-0001). Szczególne ryzyko wynika z faktu, że exploit nie wymaga żadnych poświadczeń ani wcześniejszego dostępu — wystarczy znajomość nazwy konta administratora.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Smartertools Smartermail

    APP
    Smartertools
    < 100.0.9511

CISA KEV — szczegółyi

Dostawcai
SmarterTools
Produkti
SmarterMail
Data dodania do KEVi
26 stycznia 2026
Termin remediation (USA)i
16 lutego 2026(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

SmarterTools SmarterMail zawiera lukę polegającą na obejściu uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w API resetowania hasła. Endpoint force-reset-password akceptuje anonimowe żądania i nie weryfikuje istniejącego hasła ani tokenu resetowania podczas resetowania kont administratorów systemowych. Umożliwia to nieuwierzytelnionemu atakującemu podanie nazwy administratora docelowego i nowego hasła w celu zresetowania konta, co może skutkować pełnym przejęciem uprawnień administracyjnych instancji SmarterMail.

tłumaczenie AI
Pokaż oryginał (EN)

SmarterTools SmarterMail contains an authentication bypass using an alternate path or channel vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. This could allow an unauthenticated attacker to supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 16 lutego 2026
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-24423CRITICAL9.3⚠ KEVPL ✓ten sam produkt

SmarterMail – nieuwierzytelnione RCE przez ConnectToHub API

CVE-2025-52691CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Nieautoryzowany upload plików i RCE w SmarterMail (SmarterTools)

CVE-2021-32234CRITICAL9.8ten sam produkt

SmarterTools SmarterMail 16.x through 100.x before 100.0.7803 allows remote code execution.

CVE-2019-7214CRITICAL9.8ten sam produkt

SmarterTools SmarterMail 16.x before build 6985 allows deserialization of untrusted data. An unauthenticated a...

CVE-2026-7807HIGH8.7ten sam produkt

SmarterTools SmarterMail builds prior to 9560 contain a local file inclusion vulnerability in the /api/v1/repo...