Què ha passat
El 15 de gener de 2026, SmarterTools va publicar la Build 9511 de SmarterMail, el seu popular servidor de correu per a Windows, corregint una vulnerabilitat crítica de bypass d’autenticació catalogada com a CVE-2026-23760. Tot just dos dies després, el 17 de gener, els atacants ja havien analitzat el pegat, deduït la fallada mitjançant enginyeria inversa i començat a explotar-la activament contra servidors que encara no s’havien actualitzat.
El National Vulnerability Database (NVD) del NIST li va assignar una puntuació CVSS 3.1 de 9.8 (crítica) i la va classificar com a CWE-288: bypass d’autenticació fent servir una ruta o canal alternatiu.
En què consisteix la vulnerabilitat
El problema rau a l’endpoint de l’API force-reset-password. Segons la descripció oficial del NVD, aquest endpoint accepta peticions anònimes i no verifica ni la contrasenya anterior ni un token de restabliment quan es tracta de restablir comptes d’administrador del sistema.
A la pràctica, un atacant pot enviar una petició HTTP manipulada en què inclou la propietat IsSysAdmin amb valor true. El servidor processa aquesta sol·licitud i restableix la contrasenya de l’administrador del sistema sense demanar credencials prèvies. A partir d’aquest moment, l’atacant controla el compte més privilegiat del servidor de correu.
A qui afecta i gravetat
La vulnerabilitat afecta totes les versions de SmarterMail anteriors a la Build 9511. Atès que SmarterMail és un servidor de correu molt estès en entorns Windows de pimes i proveïdors d’allotjament, l’impacte és ampli: en el moment de l’avís, més de 6.000 servidors SmarterMail van quedar exposats a un segrest automatitzat de comptes d’administrador.
La gravetat és màxima perquè la fallada és:
- Explotable de manera remota i sense autenticació prèvia (AV:N/PR:N).
- De baixa complexitat (AC:L), cosa que facilita la seva automatització a escala.
- D’impacte total sobre confidencialitat, integritat i disponibilitat.
Un cop compromès el compte d’administrador, l’atacant pot llegir tot el correu allotjat, crear o eliminar bústies i, mitjançant les eines de gestió integrades, executar ordres del sistema operatiu subjacent, cosa que obre la porta a un compromís total de l’amfitrió.
Mitigació i pegat
La mesura prioritària és actualitzar a la Build 9511 o posterior sense demora. Atès que ja hi ha explotació activa a la xarxa, qualsevol servidor sense pegat s’ha de considerar un objectiu immediat.
Recomanacions addicionals mentre s’aplica el pegat o es verifica l’estat del sistema:
- Restringir l’accés a la interfície d’administració mitjançant tallafocs o VPN, limitant-la a IP de confiança.
- Auditar els registres cercant peticions a l’endpoint
force-reset-passwordi restabliments de contrasenya d’administrador no esperats. - Rotar les credencials d’administrador després d’actualitzar, assumint que el servidor podria haver estat compromès.
- Revisar comptes, regles de reenviament i connectors creats recentment que poguessin indicar persistència de l’atacant.
Aquest cas il·lustra un patró cada cop més habitual: els atacants analitzen els pegats tan bon punt es publiquen i reconstrueixen l’exploit en hores o dies. La finestra entre la publicació d’una correcció i la seva explotació és cada cop més curta, de manera que aplicar pegats amb rapidesa deixa de ser una bona pràctica per convertir-se en una urgència operativa.
Font
- The Hacker News - SmarterMail Auth Bypass Exploited in the Wild: https://thehackernews.com/2026/01/smartermail-auth-bypass-exploited-in.html
- NVD - CVE-2026-23760: https://nvd.nist.gov/vuln/detail/CVE-2026-23760