A organização sem fins lucrativos de segurança cibernética Shadowserver identificou mais de 6.000 servidores SmarterMail expostos na internet, provavelmente vulneráveis a ataques que exploram uma falha crítica de bypass de autenticação.
A empresa de cibersegurança watchTowr notificou a desenvolvedora SmarterTools sobre a vulnerabilidade em 8 de janeiro.
Uma correção foi lançada em 15 de janeiro, inicialmente sem um identificador oficial.
Posteriormente, a falha recebeu a designação
CVE-2026-23760
e foi classificada como crítica.
Ela permite que invasores não autenticados assumam contas administrativas e executem código remotamente no servidor, obtendo controle total das máquinas vulneráveis.
Segundo aviso publicado no banco de dados nacional de vulnerabilidades do NIST, “as versões do SmarterTools SmarterMail anteriores ao build 9511 possuem uma falha de bypass de autenticação na API de redefinição de senha”.
O endpoint force-reset-password aceita requisições anônimas e não verifica a senha atual nem um token de redefinição ao alterar contas administrativas.
Assim, um atacante pode fornecer o nome de usuário do administrador alvo junto com uma nova senha, comprometendo completamente a instância do SmarterMail.
Essa vulnerabilidade foi descoberta pela watchTowr duas semanas após identificar outra falha crítica pré-autenticação no SmarterMail, a
CVE-2025-52691
, que também permite execução remota de código em servidores sem patch.
Na segunda-feira, a Shadowserver informou monitorar mais de 6.000 servidores SmarterMail — incluindo cerca de 4.200 na América do Norte e quase 1.000 na Ásia — classificados como “provavelmente vulneráveis” a ataques que exploram a
CVE-2026-23760
.
O pesquisador de ameaças Yutaka Sejiyama, da Macnica, revelou que suas varreduras identificaram mais de 8.550 instâncias do SmarterMail suscetíveis a essa falha.
A watchTowr, que divulgou uma prova de conceito do exploit — que exige apenas o nome de usuário do administrador —, foi alertada sobre a exploração ativa da vulnerabilidade em 21 de janeiro.
No dia seguinte, a empresa de segurança Huntress confirmou ataques maliciosos, indicando exploração automatizada em larga escala.
Na última segunda-feira, a agência americana CISA incluiu a
CVE-2026-23760
na lista de vulnerabilidades exploradas ativamente, determinando que órgãos governamentais dos EUA protejam seus servidores em até três semanas, ou seja, até 16 de fevereiro.
“Esses tipos de vulnerabilidades são vetores frequentes para ataques de agentes maliciosos e representam riscos significativos para o ambiente federal”, alertou a CISA.
“Aplique as medidas mitigadoras conforme as orientações do fornecedor, siga as diretrizes do BOD 22-01 para serviços em nuvem ou descontinue o uso do produto caso as soluções estejam indisponíveis.”
Além disso, ontem a Shadowserver reportou a presença de quase 800 mil endereços IP com impressões digitais de Telnet, vinculados a ataques ativos contra uma falha crítica de bypass de autenticação no servidor telnetd do GNU Inetutils.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...