A SmarterTools lançou atualizações de segurança para corrigir falhas graves em sua plataforma de e-mail SmarterMail, incluindo uma vulnerabilidade crítica identificada como CVE-2026-24423. Com pontuação CVSS de 9.3, essa falha permitia a execução remota de código sem necessidade de autenticação. A brecha estava presente em versões anteriores ao Build 9511 e permitia que um invasor apontasse o SmarterMail para um servidor HTTP malicioso.
Esse servidor, por sua vez, fornecia comandos que eram executados diretamente pela aplicação vulnerável. A mesma versão de correção, lançada em 15 de janeiro de 2026, também abordou outra vulnerabilidade crítica, a CVE-2026-23760, que já vinha sendo explorada ativamente por agentes maliciosos, aumentando a urgência da atualização. Além dessas falhas críticas, um terceiro problema de gravidade média (CVE-2026-25067) também foi resolvido. Esse último permitia a exploração de caminhos não autenticados, possibilitando ataques como coerção de credenciais e autenticação de rede indevida via NTLM relay.
A vulnerabilidade média permitia que entradas base64 manipuladas fossem interpretadas como caminhos de sistema de arquivos, o que, em ambientes Windows, podia forçar o envio de requisições SMB a servidores controlados por atacantes. A descoberta das falhas foi atribuída a especialistas das empresas watchTowr, CODE WHITE GmbH e VulnCheck. Todos os problemas foram corrigidos até o Build 9518, lançado em 22 de janeiro de 2026. Com múltiplas vulnerabilidades críticas em exploração ativa, administradores devem aplicar os patches imediatamente para evitar comprometimentos em suas infraestruturas de e-mail.
