SmarterTools SmarterMail w wersjach wcześniejszych niż build 9511 zawiera krytyczną podatność umożliwiającą nieuwierzytelnione zdalne wykonanie kodu (RCE). Podatność jest aktywnie wykorzystywana przez atakujących i nie wymaga żadnej autoryzacji ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
SmarterTools SmarterMail versions prior to build 9511 contain an unauthenticated remote code execution vulnerability in the ConnectToHub API method. The attacker could point the SmarterMail to the malicious HTTP server, which serves the malicious OS command. This command will be executed by the vulnerable application.
Podatność (CWE-306 – brak uwierzytelnienia dla funkcji krytycznej) dotyczy metody API ConnectToHub. Atakujący może wskazać aplikacji SmarterMail adres kontrolowanego przez siebie złośliwego serwera HTTP. Serwer ten serwuje złośliwe polecenie systemowe (OS command), które aplikacja SmarterMail następnie wykonuje bez jakiejkolwiek weryfikacji tożsamości żądającego. Cały atak jest możliwy zdalnie, przez sieć, bez konieczności posiadania konta w systemie.
Atakujący uzyskuje możliwość wykonania dowolnych poleceń systemowych w kontekście aplikacji SmarterMail, co prowadzi do pełnego przejęcia kontroli nad serwerem, wycieku danych oraz potencjalnego lateral movement w sieci organizacji.
Należy niezwłocznie zaktualizować SmarterMail do wersji build 9511 lub nowszej. Patche i informacje o wydaniu dostępne są w oficjalnych notatkach wydania producenta: https://www.smartertools.com/smartermail/release-notes/current. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu API SmarterMail (np. przez firewall) wyłącznie do zaufanych adresów IP.
SmarterTools SmarterMail we wszystkich wersjach wcześniejszych niż build 9511.
Podatność jest umieszczona w katalogu CISA KEV, co potwierdza jej aktywne wykorzystanie w środowiskach produkcyjnych. Szczegóły techniczne podatności opublikowała firma Code White.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XSmartertools Smartermail
APPSmartertools< 100.0.9511
CISA KEV — szczegółyi
- Dostawcai
- SmarterTools ↗
- Produkti
- SmarterMail
- Data dodania do KEVi
- 5 lutego 2026
- Termin remediation (USA)i
- 26 lutego 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług cloud, lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SmarterTools SmarterMail zawiera lukę dotyczącą braku uwierzytelniania dla krytycznej funkcji w metodzie API ConnectToHub. Może to pozwolić atakującemu skierować instancję SmarterMail na złośliwy serwer HTTP, który udostępnia złośliwe polecenia OS i może prowadzić do wykonania poleceń.
▸ Pokaż oryginał (EN)
SmarterTools SmarterMail contains a missing authentication for critical function vulnerability in the ConnectToHub API method. This could allow the attacker to point the SmarterMail instance to a malicious HTTP server which serves the malicious OS command and could lead to command execution.
Powiązane podatności
Pominięcie uwierzytelnienia w API resetowania hasła SmarterMail
Nieautoryzowany upload plików i RCE w SmarterMail (SmarterTools)
SmarterTools SmarterMail 16.x through 100.x before 100.0.7803 allows remote code execution.
SmarterTools SmarterMail 16.x before build 6985 allows deserialization of untrusted data. An unauthenticated a...
SmarterTools SmarterMail builds prior to 9560 contain a local file inclusion vulnerability in the /api/v1/repo...