Qué ha ocurrido
El 15 de enero de 2026, SmarterTools publicó la Build 9511 de SmarterMail, su popular servidor de correo para Windows, corrigiendo una vulnerabilidad crítica de bypass de autenticación catalogada como CVE-2026-23760. Apenas dos días después, el 17 de enero, los atacantes ya habían analizado el parche, deducido el fallo mediante ingeniería inversa y comenzado a explotarlo activamente contra servidores que aún no se habían actualizado.
El National Vulnerability Database (NVD) del NIST le asignó una puntuación CVSS 3.1 de 9.8 (crítica) y la clasificó como CWE-288: bypass de autenticación usando una ruta o canal alternativo.
En qué consiste la vulnerabilidad
El problema reside en el endpoint de la API force-reset-password. Según la descripción oficial del NVD, este endpoint acepta peticiones anónimas y no verifica ni la contraseña anterior ni un token de restablecimiento cuando se trata de restablecer cuentas de administrador del sistema.
En la práctica, un atacante puede enviar una petición HTTP manipulada en la que incluye la propiedad IsSysAdmin con valor true. El servidor procesa esa solicitud y restablece la contraseña del administrador del sistema sin pedir credenciales previas. A partir de ese momento, el atacante controla la cuenta más privilegiada del servidor de correo.
A quién afecta y gravedad
La vulnerabilidad afecta a todas las versiones de SmarterMail anteriores a la Build 9511. Dado que SmarterMail es un servidor de correo muy extendido en entornos Windows de pymes y proveedores de hosting, el impacto es amplio: en el momento del aviso, más de 6.000 servidores SmarterMail quedaron expuestos a un secuestro automatizado de cuentas de administrador.
La gravedad es máxima porque el fallo es:
- Explotable de forma remota y sin autenticación previa (AV:N/PR:N).
- De baja complejidad (AC:L), lo que facilita su automatización a escala.
- De impacto total sobre confidencialidad, integridad y disponibilidad.
Una vez comprometida la cuenta de administrador, el atacante puede leer todo el correo alojado, crear o eliminar buzones y, mediante las herramientas de gestión integradas, ejecutar comandos del sistema operativo subyacente, lo que abre la puerta a un compromiso total del host.
Mitigación y parche
La medida prioritaria es actualizar a la Build 9511 o posterior sin demora. Dado que ya existe explotación activa en la red, cualquier servidor sin parchear debe considerarse un objetivo inmediato.
Recomendaciones adicionales mientras se aplica el parche o se verifica el estado del sistema:
- Restringir el acceso a la interfaz de administración mediante firewall o VPN, limitándola a IPs de confianza.
- Auditar los registros en busca de peticiones al endpoint
force-reset-passwordy de restablecimientos de contraseña de administrador no esperados. - Rotar las credenciales de administrador tras actualizar, asumiendo que el servidor pudo haber sido comprometido.
- Revisar cuentas, reglas de reenvío y conectores creados recientemente que pudieran indicar persistencia del atacante.
Este caso ilustra un patrón cada vez más habitual: los atacantes analizan los parches en cuanto se publican y reconstruyen el exploit en horas o días. La ventana entre la publicación de una corrección y su explotación es cada vez más corta, por lo que parchear con rapidez deja de ser una buena práctica para convertirse en una urgencia operativa.
Fuente
- The Hacker News - SmarterMail Auth Bypass Exploited in the Wild: https://thehackernews.com/2026/01/smartermail-auth-bypass-exploited-in.html
- NVD - CVE-2026-23760: https://nvd.nist.gov/vuln/detail/CVE-2026-23760