7 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a smartermail.
Relato indica exploração ativa de uma falha crítica no SmarterMail que permite RCE via requisições HTTP sem autenticação, sendo usada em ataques de ransomware. O feed não lista CVE, versões afetadas ou IOCs; consulte os avisos oficiais para ação.
SmarterTools corrigiu duas falhas no SmarterMail, incluindo CVE‑2026‑24423 (CVSS 9.3), uma RCE não autenticada no ConnectToHub API que afeta versões anteriores à build 9511. Instâncias expostas devem ser atualizadas ou isoladas imediatamente.
CVE-2026-23760, vulnerabilidade crítica em SmarterMail (versões anteriores ao Build 9511), permite bypass de autenticação no endpoint de reset de senha. Scanes indicam 6.000+ instâncias potencialmente vulneráveis e exploração ativa foi observada; recomenda-se atualização imediata e revisão forense de administradores e System Events.
Atividade de exploração foi observada contra uma falha de autenticação no SmarterTools SmarterMail pouco após a publicação de um patch (Build 9511). A vulnerabilidade (identificada por watchTowr Labs como WT-2026-0001) não tinha CVE na cobertura consultada; organização com SmarterMail devem aplicar o patch, revisar logs e auditar credenciais.
Scans de 12–13/01/2026 mostram 8.001 instâncias SmarterMail expostas vulneráveis a CVE-2025-52691 (upload arbitrário → RCE, CVSS 10.0). PoCs públicos aumentam risco para servidores não corrigidos; SmarterTools recomenda atualização para Build 9413+. Administradores devem inventariar, isolar instâncias públicas e procurar sinais de webshells.
CVE-2025-52691 é uma RCE pré‑autenticação (CVSS 10.0) em SmarterMail que explora /api/upload via path traversal no parâmetro GUID. A correção está na build 9413; PoC e artefatos de detecção foram publicados.
Vulnerabilidade crítica CVE-2025-52691 no SmarterMail permite upload não autenticado de arquivos e RCE; CVSS 10.0. SmarterTools liberou Build 9413; descoberta por Chua Meng Han e coordenação com CSA de Singapura.