A U.S. Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no SmarterMail, identificada como
CVE-2026-24423
, que permite a execução remota de código sem necessidade de autenticação.
O SmarterMail é um servidor de e-mail autogerenciado, baseado em Windows, desenvolvido pela SmarterTools.
Ele oferece serviços de SMTP, IMAP, POP, além de webmail, calendários, contatos e funcionalidades básicas de groupware.
Essa solução é amplamente utilizada por provedores de serviços gerenciados (MSPs), pequenas e médias empresas e empresas de hospedagem que oferecem serviços de e-mail.
Segundo a SmarterTools, seus produtos atendem cerca de 15 milhões de usuários em 120 países.
A falha
CVE-2026-24423
afeta versões anteriores à build 9511 do SmarterMail e pode ser explorada por meio da API ConnectToHub, permitindo execução remota de código (RCE).
A descoberta e divulgação responsável foram feitas por pesquisadores das empresas watchTowr, CODE WHITE e VulnCheck.
A correção foi liberada pela SmarterTools em 15 de janeiro, com a build 9511.
A CISA incluiu essa vulnerabilidade em seu catálogo Known Exploited Vulnerabilities (KEV) e a classificou como explorada ativamente em campanhas de ransomware.
Segundo a agência, “o SmarterMail apresenta falta de autenticação em uma função crítica da API ConnectToHub, o que pode permitir que um invasor direcione a instância do SmarterMail a um servidor HTTP malicioso, executando comandos no sistema”.
Como medida, a CISA orienta órgãos federais e entidades que seguem a Diretiva BOD 22-01 a aplicar as atualizações de segurança e as mitigações recomendadas pelo fornecedor, ou suspender o uso do produto até 26 de fevereiro de 2026.
Na mesma época do lançamento do patch para a
CVE-2026-24423
, pesquisadores da watchTowr identificaram outra vulnerabilidade de bypass de autenticação, registrada internamente como WT-2026-0001.
Essa falha permite redefinir a senha do administrador sem qualquer verificação.
Hackers já exploraram essa brecha pouco após o lançamento do patch, com base em denúncias anônimas, registros específicos nos logs de sistemas comprometidos e evidências que coincidem exatamente com o caminho vulnerável no código.
Desde então, o SmarterMail corrigiu outras falhas de segurança críticas.
Por isso, recomenda-se que administradores atualizem suas instalações para a versão mais recente, a build 9526, lançada em 30 de janeiro.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...