Vulnerabilidad en SmarterTools SmarterMail (CVE-2026-23760)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/01/2026
Última modificación:
27/01/2026
Descripción
Las versiones de SmarterTools SmarterMail anteriores a la compilación 9511 contienen una vulnerabilidad de omisión de autenticación en la API de restablecimiento de contraseña. El endpoint force-reset-password permite solicitudes anónimas y no verifica la contraseña existente o un token de restablecimiento al restablecer cuentas de administrador del sistema. Un atacante no autenticado puede proporcionar un nombre de usuario de administrador objetivo y una nueva contraseña para restablecer la cuenta, lo que resulta en un compromiso de administración total de la instancia de SmarterMail. NOTA: Los privilegios de administrador del sistema de SmarterMail otorgan la capacidad de ejecutar comandos del sistema operativo a través de la funcionalidad de gestión incorporada, proporcionando efectivamente acceso de administrador (SYSTEM o root) en el host subyacente.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:smartertools:smartermail:*:*:*:*:*:*:*:* | 100.0.9511 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://code-white.com/public-vulnerability-list/#authenticationserviceforceresetpassword-missing-authentication-in-smartermail
- https://labs.watchtowr.com/attackers-with-decompilers-strike-again-smartertools-smartermail-wt-2026-0001-auth-bypass/
- https://www.smartertools.com/smartermail/release-notes/current
- https://www.vulncheck.com/advisories/smartertools-smartermail-authentication-bypass-via-password-reset-api
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-23760
- https://www.huntress.com/blog/smartermail-account-takeover-leading-to-rce