Vulnerabilidades críticas en SmarterTools 2026
Vulnerabilidad - 9/02
Introducción
CVE-2026-24423 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta al servidor de correo electrónico SmarterMail. La falla reside en un endpoint administrativo (API REST) expuesto por defecto: /api/v1/settings/sysadmin/connect-to-hub
La implementación de este endpoint permitía que cualquier cliente remoto enviara solicitudes manipuladas sin autenticación ni autorización válida. El parámetro de entrada podía ser controlado por el atacante, provocando que SmarterMail realizara conexiones hacia servidores arbitrarios controlados por el atacante.
La vulnerabilidad está siendo explotada en campañas de ransomware.
Análisis
CVE-2026-24423 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
El vector de ataque se explica de la siguiente manera:
El atacante envía una solicitud HTTP al endpoint vulnerable ConnectToHub con un parámetro que apunta a un servidor HTTP controlado por el propio atacante. Después, el servidor SmarterMail inicia una conexión saliente hacia esa dirección proporcionada. El servidor malicioso responde con datos que son interpretados como comandos del sistema operativo y el SmarterMail vulnerable ejecuta esos comandos con altos privilegios.
Versiones afectadas
SmarterTools SmarterMail en versiones anteriores a Build 9511.
Recomendaciones
- Actualizar SmarterMail a Build 9511 o superior, donde ya está corregida esta vulnerabilidad
- Si no es posible actualizar de inmediato, bloquear el acceso al endpoint vulnerable
Workarounds
No hay workarounds para esta vulnerabilidad.