HackerNews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)警告称,勒索软件攻击者正利用 SmarterMail 中的高危漏洞 CVE-2026-24423,该漏洞可实现无认证远程代码执行。
SmarterMail 是 SmarterTools 公司推出的一款基于 Windows 系统的自托管邮件服务器与协作平台。该产品提供 SMTP/IMAP/POP 邮件服务,同时搭载网页邮箱、日历、通讯录及基础群件功能。
该产品普遍部署于托管服务提供商(MSP)、中小企业及提供邮件服务的托管公司。据 SmarterTools 公司数据,其产品在全球 120 个国家拥有约 1500 万用户。
CVE-2026-24423漏洞影响SmarterTools SmarterMail版本9511之前的构建版本,成功利用可通过ConnectToHub API导致远程代码执行(RCE)。
该漏洞由watchTowr、CODE WHITE和VulnCheck网络安全公司的安全研究人员发现并负责任地披露给了SmarterTools。
供应商于1月15日在SmarterMail Build 9511中修复了该漏洞。
CISA现已将该漏洞纳入已知被利用漏洞(KEV)目录,并标记其在勒索软件攻击活动中遭积极利用。
该联邦机构警示称:“SmarterTools SmarterMail 的 ConnectToHub 接口方法存在关键功能未做身份认证的漏洞。”
“该漏洞可使攻击者将 SmarterMail 实例指向搭载恶意操作系统指令的恶意 HTTP 服务器,进而引发指令执行风险。”
CISA要求受 22-01 号强制性运营指令约束的联邦机构及实体,需在 2026 年 2 月 26 日前完成安全更新部署、落实厂商建议的缓解措施,或停止使用该产品。
就在 SmarterTools 公司修复 CVE-2026-24423 漏洞同期,watchTowr 研究人员发现另一处身份认证绕过漏洞,内部编号为 WT-2026-0001。
该未分配公开编号的漏洞可实现无验证重置管理员密码,且在厂商发布补丁后不久便遭黑客利用。
研究人员依据匿名线索、受攻陷系统日志中的特定调用记录,以及与漏洞代码路径完全匹配的端点得出该结论。
此后,SmarterMail 又修复了多项标注为 “高危” 的安全漏洞,建议系统管理员将产品升级至最新版本,即 1 月 30 日发布的 9526 版本。
消息来源:bleepingcomputer.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文