Uma vulnerabilidade crítica no servidor de e-mail SmarterMail começou a ser explorada por cibercriminosos apenas dois dias após a liberação de um patch de segurança pela SmarterTools. A falha, ainda sem identificação formal via CVE, permite que invasores redefinam senhas de contas administrativas sem autenticação, abrindo caminho para o controle completo dos servidores afetados. O problema foi corrigido na build 8511 do SmarterMail, publicada em 15 de janeiro de 2026. No entanto, em 17 de janeiro já foram detectadas tentativas de exploração ativa da falha em servidores ainda não atualizados.
A brecha está relacionada a um endpoint da API que deveria exigir autenticação, mas que, por falha de design, aceita requisições maliciosas que alteram senhas de contas privilegiadas. Uma vez com acesso à conta de administrador, o invasor pode usar recursos internos do sistema para executar comandos arbitrários no servidor, obtendo uma shell com permissões elevadas. Essa ação permite que o atacante instale malware, capture informações confidenciais ou use o servidor comprometido como ponto de apoio para novas invasões. A técnica usada envolve o endpoint responsável pela redefinição de senha, que contém parâmetros capazes de direcionar a mudança para qualquer conta, mesmo sem validação. Ao identificar nomes de usuário administrativos, o atacante consegue forçar a troca de senha e se autenticar como se fosse o dono legítimo da conta.
A comunidade de cibersegurança alertou que, embora a falha tenha sido corrigida rapidamente pela SmarterTools, o tempo entre a publicação do patch e os primeiros ataques foi extremamente curto. Isso reforça o risco da chamada engenharia reversa de atualizações, em que agentes maliciosos analisam os patches para descobrir e explorar as falhas corrigidas. Essa vulnerabilidade se soma a outra falha grave recentemente corrigida no SmarterMail, registrada como CVE-2025-52691, que permitia o upload arbitrário de arquivos e execução remota de código. Ambas representam riscos sérios, especialmente para ambientes empresariais que ainda não aplicaram as atualizações.
