Vulnerabilidades críticas en SmarterMail 2026
Vulnerabilidad crítica - 16/02
Introducción
CVE-2026-23760 se encuentra en el endpoint de la API /api/v1/auth/force-reset-password. Ese punto de acceso permite solicitudes anónimas y no verifica el token de restablecimiento o la contraseña antigua al intentar resetear la contraseña de cuentas administrador. Esta vulnerabilidad está siendo activamente explotada por Warlock, un actor de amenazas de ransomware.
Análisis
CVE-2026-23760 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
El endpoint de la API /api/v1/auth/force-reset-password está diseñado originalmente para permitir que los administradores restablezcan contraseñas de usuarios en casos legítimos. Sin embargo, esta vulnerabilidad no requiere autenticación previa, no verifica un token de restablecimiento válido y no valida la contraseña antigua, por lo que un atacante puede enviar una solicitud maliciosa con el nombre de usuario del administrador y una nueva contraseña, y el sistema la aceptará automáticamente. Una vez que el atacante explota este endpoint, puede tener acceso administrativo completo al servidor de correo, pudiendo ver o modificar cualquier cuenta, capacidad de usar funciones administrativas avanzadas, incluyendo la posibilidad de ejecutar comandos en el sistema operativo subyacente si el servidor tiene privilegios adecuados, control potencial de toda la infraestructura asociada al servidor de correo, incluyendo datos sensibles de usuarios y correos corporativos. Esta es una vulnerabilidad de escalamiento total de privilegios desde cero, sin necesidad de credenciales previas.
Warlock comprometió un servidor interno desactualizado y se movió lateralmente en la red usando Active Directory, intentando desplegar una carga de ransomware. Algunas investigaciones han reportado más de 6.000 servidores SmarterMail expuestos públicamente y potencialmente vulnerables antes de la mitigación masiva.
Versiones afectadas
Todas las versiones de SmarterMail anteriores a la Build 9511.
Recomendaciones
Actualizar a SmarterMail Build 9511 o superior.
Workarounds
No hay workarounds para esta vulnerabilidad.