CVE-2026-23760: 6.000+ SmarterMail expostos e exploração ativa

CVE-2026-23760, vulnerabilidade crítica em SmarterMail (versões anteriores ao Build 9511), permite bypass de autenticação no endpoint de reset de senha. Scanes indicam 6.000+ instâncias potencialmente vulneráveis e exploração ativa foi observada; recomenda-se atualização imediata e revisão forense de administradores e System Events.

Pesquisadores reportaram que mais de 6.000 instâncias do servidor SmarterMail estão potencialmente vulneráveis a uma falha crítica (CVE-2026-23760) que permite bypass de autenticação e já tem exploração observada em produção.

Descoberta e escopo

O problema, identificado no endpoint /api/v1/auth/force-reset-password, permite redefinir senhas de contas administrativas sem exigir tokens válidos ou verificação adequada de identidade em versões anteriores ao Build 9511 (lançado em 15 de janeiro de 2026). A vulnerabilidade recebeu CVSS 9.3.

Vetor e exploração

Explorações confirmadas demonstram que um ator remoto pode fornecer um nome de usuário administrativo e definir uma nova senha, obtendo acesso imediato. Com privilégios administrativos, a interface do SmarterMail pode ser usada para executar comandos do sistema operacional via funcionalidades legítimas de configuração, elevando o comprometimento a nível SYSTEM na máquina hospedeira.

Evidências e observações

Organizações como Huntress Labs e Shadowserver relataram observações de tentativas de exploração desde 17 de janeiro de 2026, dois dias após a disponibilização de correções.
Scanes georreferenciados indicam ~6.000 IPs com versões vulneráveis, em múltiplas regiões; o detalhamento regional completo não foi publicado.

Impacto e alcance

Servidores de e-mail corporativos representam um ativo de alto valor: comprometimentos podem permitir interceptação de comunicações, movimento lateral para outros servidores internos e estabelecimento de persistência (web shells/backdoors). A presença de execução de comandos via painel administrativo agrava o risco operacional.

Mitigações e resposta

Atualizar imediatamente para Build 9511 ou superior, conforme recomendações do fornecedor SmarterTools.
Revisar logs de administração para resets de senha não autorizados e procurar evidência de criação de System Events ou comandos suspeitos.
Isolar hosts comprometidos e realizar análise forense para identificar implantes persistentes e validar backups.
Aumentar a detecção de atividades pós‑exploração: criação de contas administrativas, mudança em configurações de execução de comandos e estabelecimento de conexões de saída incomuns.

O que falta esclarecer

Fontes públicas confirmam exploração ativa e estimativa de instâncias vulneráveis, mas não divulgaram métricas consolidadas sobre número de servidores efetivamente comprometidos ou listas de vítimas identificadas. Também não houve, até a publicação, detalhamento público de indicadores de comprometimento (IOCs) padronizados por um órgão central.

Equipes de segurança devem tratar a falha como de alta prioridade operacional e aplicar patch ou mitigação compensatória imediatamente.