CVE-2026-23760

Contrôle total sur SmarterMail via une faille d’authentification

Une faille critique de contournement d’authentification, identifiée sous la référence CVE-2026-23760, affecte les versions de SmarterTools SmarterMail antérieures à la version build 9511. Cette vulnérabilité réside dans l’API de réinitialisation de mot de passe, précisément dans le point de terminaison force-reset-password, qui accepte des requêtes anonymes.

Points Clés :

• Type de Vulnérabilité : Contournement d’authentification.
• Produit Affecté : SmarterTools SmarterMail.
• Versions Affectées : Antérieures à build 9511.

Vulnérabilité :

• CVE : CVE-2026-23760
• Détails : L’API de réinitialisation de mot de passe permet à un attaquant non authentifié de réinitialiser le mot de passe d’un compte administrateur en fournissant simplement le nom d’utilisateur de la cible et un nouveau mot de passe. Aucune authentification préalable ou jeton de réinitialisation n’est requis.

Impact :

• La compromission permet un accès administratif complet à l’instance SmarterMail.
• Cet accès peut être utilisé pour exécuter des commandes système via les fonctions de gestion intégrées du logiciel.
• La faille est activement exploitée dans la nature.

Recommandations :

• Mettre à jour SmarterMail vers la version build 9511 ou une version ultérieure pour corriger cette vulnérabilité.

Source