🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
SmarterTools corrigiu mais duas falhas de segurança no software de e-mail SmarterMail, incluindo uma falha crítica de segurança que poderia resultar na execução arbitrária de código.
A vulnerabilidade, rastreada como CVE-2026-24423, carrega uma pontuação CVSS de 9,3 em 10,0.
“As versões do SmarterTools SmarterMail anteriores à compilação 9511 contêm uma vulnerabilidade de execução remota de código não autenticada no método API ConnectToHub”, de acordo com uma descrição da falha em CVE.org.
"O invasor pode apontar o SmarterMail para o servidor HTTP malicioso, que fornece o comando malicioso do sistema operacional [sistema operacional]. Este comando será executado pelo aplicativo vulnerável."
Os pesquisadores da watchTowr, Sina Kheirkhah e Piotr Bazydlo, Markus Wulftange da CODE WHITE GmbH e Cale Black da VulnCheck foram creditados por descobrir e relatar a vulnerabilidade.
A falha de segurança foi corrigida na versão Build 9511, lançada em 15 de janeiro de 2026. A mesma compilação também corrige outra falha crítica (CVE-2026-23760, pontuação CVSS: 9,3) que desde então está sob exploração ativa na natureza.
Além disso, o SmarterTools enviou correções para corrigir uma vulnerabilidade de segurança de gravidade média (CVE-2026-25067, pontuação CVSS: 6,9) que poderia permitir que um invasor facilitasse ataques de retransmissão NTLM e autenticação de rede não autorizada.
Foi descrito como um caso de coerção de caminho não autenticado que afeta o endpoint de visualização do plano de fundo do dia.
“O aplicativo decodifica a entrada fornecida pelo invasor em base64 e a usa como um caminho do sistema de arquivos sem validação”, observou VulnCheck em um alerta.
"Em sistemas Windows, isso permite que caminhos UNC [Convenção de Nomenclatura Universal] sejam resolvidos, fazendo com que o serviço SmarterMail inicie tentativas de autenticação SMB de saída para hosts controlados por invasores. Isso pode ser abusado para coerção de credenciais, ataques de retransmissão NTLM e autenticação de rede não autorizada."
A vulnerabilidade foi corrigida no Build 9518, lançado em 22 de janeiro de 2026. Com duas vulnerabilidades no SmarterMail sendo exploradas ativamente na semana passada, é essencial que os usuários atualizem para a versão mais recente o mais rápido possível.
A vulnerabilidade, rastreada como CVE-2026-24423, carrega uma pontuação CVSS de 9,3 em 10,0.
“As versões do SmarterTools SmarterMail anteriores à compilação 9511 contêm uma vulnerabilidade de execução remota de código não autenticada no método API ConnectToHub”, de acordo com uma descrição da falha em CVE.org.
"O invasor pode apontar o SmarterMail para o servidor HTTP malicioso, que fornece o comando malicioso do sistema operacional [sistema operacional]. Este comando será executado pelo aplicativo vulnerável."
Os pesquisadores da watchTowr, Sina Kheirkhah e Piotr Bazydlo, Markus Wulftange da CODE WHITE GmbH e Cale Black da VulnCheck foram creditados por descobrir e relatar a vulnerabilidade.
A falha de segurança foi corrigida na versão Build 9511, lançada em 15 de janeiro de 2026. A mesma compilação também corrige outra falha crítica (CVE-2026-23760, pontuação CVSS: 9,3) que desde então está sob exploração ativa na natureza.
Além disso, o SmarterTools enviou correções para corrigir uma vulnerabilidade de segurança de gravidade média (CVE-2026-25067, pontuação CVSS: 6,9) que poderia permitir que um invasor facilitasse ataques de retransmissão NTLM e autenticação de rede não autorizada.
Foi descrito como um caso de coerção de caminho não autenticado que afeta o endpoint de visualização do plano de fundo do dia.
“O aplicativo decodifica a entrada fornecida pelo invasor em base64 e a usa como um caminho do sistema de arquivos sem validação”, observou VulnCheck em um alerta.
"Em sistemas Windows, isso permite que caminhos UNC [Convenção de Nomenclatura Universal] sejam resolvidos, fazendo com que o serviço SmarterMail inicie tentativas de autenticação SMB de saída para hosts controlados por invasores. Isso pode ser abusado para coerção de credenciais, ataques de retransmissão NTLM e autenticação de rede não autorizada."
A vulnerabilidade foi corrigida no Build 9518, lançado em 22 de janeiro de 2026. Com duas vulnerabilidades no SmarterMail sendo exploradas ativamente na semana passada, é essencial que os usuários atualizem para a versão mais recente o mais rápido possível.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #smartermail #corrige #falha #crítica #de #rce #não #autenticada #com #pontuação #cvss #9.3
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário