Hack Alerta

SmarterMail corrige RCE não autenticado (CVE‑2026‑24423, CVSS 9.3)

Por Redação Hack Alerta Publicado em 30/01/2026 06:03 Vazamento de dados Tempo de leitura: 3 min

SmarterTools corrigiu duas falhas no SmarterMail, incluindo CVE‑2026‑24423 (CVSS 9.3), uma RCE não autenticada no ConnectToHub API que afeta versões anteriores à build 9511. Instâncias expostas devem ser atualizadas ou isoladas imediatamente.

A SmarterTools lançou correções para duas falhas no SmarterMail, incluindo uma vulnerabilidade crítica de execução remota de código não autenticada identificada como CVE‑2026‑24423 (CVSS 9.3).

O que foi corrigido

A vulnerabilidade afeta o ConnectToHub API do SmarterMail e existe em versões anteriores à build 9511, segundo o relatório técnico publicado. A falha permite que um atacante remoto, sem autenticação, execute código arbitrário no servidor que execute a versão vulnerável do software.

Impacto e severidade

Com CVSS 9.3, trata‑se de um problema de severidade crítica. Servidores de e‑mail expostos com SmarterMail em versões anteriores à build 9511 correm risco imediato de comprometimento se acessíveis por rede sem mitigação.

Vetor de exploração

O vetor informado envolve requisições ao endpoint do ConnectToHub API. Como a exploração não exige autenticação, hosts com esse serviço exposto representam risco elevado. O relatório não detalha PoC público ou exploração ativa no momento da publicação; a divulgação concentra‑se na disponibilidade de correção pela SmarterTools.

Ações recomendadas

  • Aplicar o patch disponibilizado pela SmarterTools para versões que atualizem o SmarterMail para build 9511 ou superior imediatamente.
  • Se não for possível aplicar atualização imediata, isolar instâncias do SmarterMail na rede, restringir acesso ao ConnectToHub API por firewall e revisar logs de acesso em busca de requisições suspeitas.
  • Monitorar telemetria e ferramentas de EDR para execução anômala de processos ou criação de contas administrativas indevidas após a janela de exposição.

O que falta

A cobertura pública menciona que duas falhas foram corrigidas, mas a divulgação não inclui uma PoC detalhada nem relatórios públicos de exploração ativa ao tempo da publicação. Equipes de resposta devem assumir risco de exploração até que todos os hosts vulneráveis estejam atualizados.

Observações para operações

Embora SmarterMail não tenha a mesma base instalada que alguns servidores de e‑mail corporativos de grande porte, ambientes que utilizam o produto em perímetros expostos devem priorizar correção pela gravidade da vulnerabilidade. A falta de necessidade de autenticação torna a falha especialmente crítica em topologias onde o serviço é acessível externamente.

Fonte: relatório técnico e nota de correção da SmarterTools, conforme cobertura do The Hacker News.

Baseado em publicação original de The Hacker News
Tags: #smartermail #rce #cve-2026-24423 #email #smartertools #unauthenticated #vulnerability #patch #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar