SmarterTools patches critical SmarterMail flaw allowing code execution
2026/01/30 SecurityAffairs — SmarterTools が発表したのは、同社のメール・ソフトウェア SmarterMail に存在する、2 件のセキュリティ・バグの修正に関する情報である。そのうち 1 件は、脆弱性 CVE-2026-24423 (CVSS:9.3) であり、深刻度 Critical と評価されている。この脆弱性を悪用する攻撃者は、影響を受けるシステム上で悪意のコードを実行する可能性がある。
同社のアドバイザリには、「SmarterTools SmarterMail の Build 9511 以前のバージョンには、ConnectToHub API メソッドにおける未認証のリモート・コード実行の脆弱性が存在する。それを悪用する攻撃者は、SmarterMail による悪意の HTTP サーバへのアクセスを強制し、そのサーバから悪意の OS コマンドを受信する。SmarterMail の脆弱なバージョンは、この悪意のコマンドを実行してしまう」と記されている。
この脆弱性を報告したのは、watchTowr の Sina Kheirkhah/Piotr Bazydlo、CODE WHITE GmbH の Markus Wulftange、VulnCheck の Cale Black である。すでに SmarterTools は、Build 9511 をリリースし、この問題に対処している。
さらに SmarterTools は、すでに実環境で悪用が確認されている別の Critical な脆弱性 CVE-2026-23760 (CVSS:9.3) にも対処した。この脆弱性を悪用する未認証の攻撃者は、管理者アカウントの乗っ取りおよびリモートコード実行が可能となり、結果として脆弱なサーバの完全な制御奪取に至る恐れがある。
今週に入り、非営利のセキュリティ組織である Shadowserver が報告したのは、6,000 台以上の SmarterMail サーバがインターネット上に公開されており、CVE-2026-23760 を悪用する攻撃に対して脆弱である可能性が高いという情報である。また、サイバーセキュリティ企業 watchTowr は、この脆弱性を 1月8日に公開し、SmarterTools は 1月15日に修正を行ったが、当初は CVE 番号が割り当てられていなかった。
SmarterTools のアドバイザリには、「SmarterTools SmarterMail の Build 9511 以前のバージョンには、パスワード・リセット API における認証バイパス脆弱性が存在する。その force-reset-password エンドポイントは匿名リクエストを許可し、システム管理者アカウントのパスワード・リセット時に、既存のパスワードやリセット・トークンの検証を行わない。それを悪用する未認証の攻撃者は、対象となる管理者ユーザー名と新しいパスワードを指定することでアカウントをリセットし、SmarterMail インスタンスに対する完全な管理者権限を奪取できる」と記されている。
すでに watchTowr の研究者は、管理者ユーザー名のみを必要とする PoC エクスプロイトを公開している。
Shadowserver はバージョン・チェックに基づき、6,000 台以上の SmarterMail サーバが脆弱である可能性が高いと報告しており、積極的な攻撃試行も実際に観測されている。
今週に CISA は、脆弱性 CVE-2026-23760 を Known Exploited Vulnerabilities (KEV) カタログに追加し、米国連邦政府民間機関 (FCEB) に対して、2026年2月16日までに対応するよう命じた。
SmarterTools が提供するメールサーバ・ソフトウェア SmarterMail に脆弱性 CVE-2026-24423 (CVSS:9.3) が発見されました。この脆弱性を悪用する攻撃者は、リモートからサーバの完全な制御権を奪取できてしまいます。
もう一方の脆弱性 CVE-2026-23760 は、すでに実環境での悪用が確認されており、米 CISA も緊急の警告を発しています。第一報は、2026/01/27 の「SmarterMail Server の CVE-2026-23760:6000+ の脆弱なサーバと実環境での悪用」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.