CVE-2026-23760

Contournement d’Authentification Crititique dans SmarterMail

Une faille de sécurité majeure, identifiée sous la référence CVE-2026-23760, affecte les versions de SmarterTools SmarterMail antérieures à la version 9511.

Cette vulnérabilité permet à un attaquant non authentifié de contourner le processus de réinitialisation de mot de passe. En exploitant l’endpoint force-reset-password de l’API, un individu malveillant peut soumettre un nom d’utilisateur administrateur ciblé et un nouveau mot de passe pour réinitialiser le compte sans aucune authentification préalable ni vérification du mot de passe actuel ou d’un jeton de réinitialisation.

L’exploitation réussie de cette faille octroie un accès administratif complet à l’instance SmarterMail. Cet accès peut ensuite être utilisé pour exécuter des commandes au niveau du système d’exploitation via les fonctionnalités de gestion intégrées à SmarterMail. La faille est activement exploitée dans la nature.

Points Clés :

• Type de Vulnérabilité : Contournement d’authentification.
• Produit Affecté : SmarterTools SmarterMail.
• Versions Affectées : Antérieures à la version 9511.
• Vecteur d’Exploitation : API de réinitialisation de mot de passe (force-reset-password).
• Impact : Prise de contrôle administrative complète, exécution de commandes système.
• Exploitation : Signalée comme activement exploitée.

Vulnérabilité :

• CVE : CVE-2026-23760

Recommandations :

• Mettre à jour SmarterMail vers la version 9511 ou une version ultérieure.

Source