Una nueva falla de seguridad en el software de correo electrónico SmarterTools SmarterMail ahora está siendo explotada dos días después del lanzamiento de un parche.
Esta vulnerabilidad actualmente no tiene un identificador CVE y watchTowr Labs la rastrea como WT-2026-0001. Parchado por SmarterTools con la compilación 9511 el 15 de enero de 2026 después de la divulgación responsable por parte de la plataforma de gestión de exposición el 8 de enero de 2026.
Esto se describe como una falla de omisión de autenticación que podría permitir a usuarios arbitrarios restablecer la contraseña de un administrador del sistema SmarterMail mediante una solicitud HTTP especialmente diseñada al punto final «/api/v1/auth/force-reset-password».
«El problema, por supuesto, es que los usuarios pueden utilizar la funcionalidad RCE como una característica para ejecutar directamente comandos del sistema operativo», dijeron Piotr Bazydlo y Sina Kheirkhah, investigadores de watchTowr Labs.
La raíz del problema radica en la función «SmarterMail.Web.Api.AuthenticationController.ForceResetPassword», que no sólo permite llegar al punto final sin autenticación, sino que también maneja las solicitudes entrantes dependiendo de si el usuario es administrador del sistema o no, aprovechando el hecho de que la solicitud de reinicio va acompañada de un indicador booleano llamado «IsSysAdmin».
Si el indicador se establece en «verdadero» (es decir, indica que el usuario es un administrador), la lógica subyacente realiza el siguiente conjunto de acciones:
Obtiene la configuración correspondiente al nombre de usuario pasado como entrada en la solicitud HTTP. Cree un nuevo elemento de administrador del sistema con una nueva contraseña. Actualice su cuenta de administrador con una nueva contraseña.
En otras palabras, Privileged Pass está configurado para permitirle actualizar fácilmente la contraseña de un usuario administrador enviando una solicitud HTTP utilizando el nombre de usuario y la contraseña de la cuenta de administrador de su elección. Un atacante podría aprovechar esta completa falta de control de seguridad para obtener acceso elevado si conociera el nombre de usuario del administrador existente.
Este no es el final. Esto se debe a que la omisión de autenticación proporciona una ruta directa a la ejecución remota de código a través de una funcionalidad incorporada que permite a los administradores del sistema ejecutar comandos del sistema operativo en el sistema operativo subyacente y obtener un shell a nivel de SISTEMA.
Para hacer esto, vaya a la página «Configuración», cree un nuevo volumen e ingrese cualquier comando en el campo «Comando de montaje de volumen». Luego, este comando es ejecutado por el sistema operativo host.
La empresa de ciberseguridad dijo que decidió hacer públicos sus hallazgos luego de una publicación en el portal comunitario SmarterTools. En la publicación, los usuarios afirmaron que los registros mostraban que se utilizó el mismo punto final de «restablecimiento forzado de contraseña» para cambiar las contraseñas el 17 de enero de 2026, dos días después del lanzamiento del parche, dejándolos sin poder acceder a sus cuentas de administrador.
Esto puede indicar que el atacante realizó ingeniería inversa en el parche y reconstruyó la falla. Para empeorar las cosas, no ayuda que las notas de la versión de SmarterMail sean vagas y no mencionen explícitamente qué problemas se han resuelto. Un elemento en la lista con viñetas de la compilación 9511 simplemente dice «Importante: correcciones de seguridad importantes».
En respuesta, el director ejecutivo de SmarterTools, Tim Uzzanti, insinuó que esto era para evitar darles a los atacantes más vías de ataque, pero dijo que planean enviar un correo electrónico cada vez que se descubra un nuevo CVE y nuevamente cuando se publique una versión que resuelva el problema.
«En nuestros más de 23 años, solo hemos tenido unos pocos CVE, y se comunicaron principalmente a través de notas de versión y referencias de correcciones críticas», dijo Uzzanti en respuesta a las preocupaciones de transparencia planteadas por los clientes. «Apreciamos los comentarios que conducirán a futuros cambios de políticas».
Actualmente se desconoce si esta vez se envió dicho correo electrónico a los administradores de SmarterMail. Hacker News se ha puesto en contacto con SmarterTools para hacer comentarios y actualizará el artículo si recibimos una respuesta.
Este desarrollo se produce menos de un mes después de que la Autoridad de Seguridad Cibernética de Singapur (CSA) detallara una falla de seguridad de máxima gravedad en SmarterMail (CVE-2025-52691, puntuación CVSS: 10.0) que podría explotarse para ejecutar código de forma remota.
Source link
