Компания SmarterTools выпустила срочные обновления безопасности для своего программного обеспечения SmarterMail, направленные на устранение нескольких серьезных проблем. Наибольшую угрозу представляет критическая уязвимость удаленного выполнения кода (RCE), которая не требует аутентификации пользователя. Администраторам систем настоятельно рекомендуется незамедлительно установить актуальные версии ПО, так как некоторые из обнаруженных брешей уже активно используются злоумышленниками в реальных атаках.
Центральным элементом этого пакета исправлений является уязвимость, получившая идентификатор CVE-2026-24423. Данная ошибка классифицируется как критическая и получила чрезвычайно высокую оценку 9.3 балла из 10.0 по шкале CVSS. Проблема затрагивает все версии SmarterMail, выпущенные до сборки Build 9511, и предоставляет злоумышленникам возможность удаленного выполнения произвольного кода в скомпрометированной системе.
Техническая суть CVE-2026-24423 кроется в некорректной работе метода API
Обнаружением и детальным исследованием этой проблемы занималась международная группа экспертов по кибербезопасности. В список исследователей, которым приписывают это важное открытие, входят Сина Хейрхах (Sina Kheirkhah) и Петр Базыдло (Piotr Bazydlo) из организации watchTowr, Маркус Вульфтанге (Markus Wulftange) из CODE WHITE GmbH, а также Кейл Блэк (Cale Black) из компании VulnCheck.
Помимо новой угрозы, январское обновление закрывает еще одну ранее раскрытую критическую уязвимость RCE с идентификатором CVE-2026-23760. Она также имеет рейтинг CVSS 9.3 и была устранена в той же сборке Build 9511 от 15 января 2026 года. Особую тревогу специалистов вызывает подтвержденный статус этой уязвимости: она в настоящее время находится под активной эксплуатацией в дикой природе.
Третья устраненная проблема, отслеживаемая под идентификатором CVE-2026-25067, имеет средний уровень опасности с оценкой 6.9 балла. Это уязвимость типа принуждения пути без аутентификации, которая может способствовать атакам NTLM relay. Данная ошибка была выявлена специалистами VulnCheck и исправлена в более поздней версии программного обеспечения — Build 9518, релиз которой состоялся 22 января 2026 года.
Эксплуатация CVE-2026-25067 осуществляется через конечную точку предварительного просмотра функции «фон дня» (background-of-the-day). Приложение декодирует входные данные злоумышленника в формате Base64 без надлежащей проверки и использует их как путь к файловой системе. В среде Windows это позволяет разрешать пути UNC (Universal Naming Convention), заставляя SmarterMail инициировать исходящую аутентификацию SMB на хосте атакующего, что ведет к перехвату учетных данных и несанкционированному доступу к сети.
Хронология выпуска патчей демонстрирует высокую интенсивность угроз в январе 2026 года. Сборка Build 9511, закрывающая CVE-2026-24423 и CVE-2026-23760, стала доступна 15 января, а исправление для CVE-2026-25067 последовало в сборке Build 9518 от 22 января. Учитывая, что две уязвимости SmarterMail подверглись активной эксплуатации за последнюю неделю, переход на последнюю версию является обязательным условием безопасности.
Изображение носит иллюстративный характер
Центральным элементом этого пакета исправлений является уязвимость, получившая идентификатор CVE-2026-24423. Данная ошибка классифицируется как критическая и получила чрезвычайно высокую оценку 9.3 балла из 10.0 по шкале CVSS. Проблема затрагивает все версии SmarterMail, выпущенные до сборки Build 9511, и предоставляет злоумышленникам возможность удаленного выполнения произвольного кода в скомпрометированной системе.
Техническая суть CVE-2026-24423 кроется в некорректной работе метода API
ConnectToHub. Механизм атаки предполагает, что хакер направляет SmarterMail к подконтрольному ему вредоносному HTTP-серверу. Этот сервер в ответ передает вредоносную команду операционной системы (OS), которую уязвимое приложение затем исполняет. Исправление этой критической ошибки было включено в сборку Build 9511, выпущенную 15 января 2026 года. Обнаружением и детальным исследованием этой проблемы занималась международная группа экспертов по кибербезопасности. В список исследователей, которым приписывают это важное открытие, входят Сина Хейрхах (Sina Kheirkhah) и Петр Базыдло (Piotr Bazydlo) из организации watchTowr, Маркус Вульфтанге (Markus Wulftange) из CODE WHITE GmbH, а также Кейл Блэк (Cale Black) из компании VulnCheck.
Помимо новой угрозы, январское обновление закрывает еще одну ранее раскрытую критическую уязвимость RCE с идентификатором CVE-2026-23760. Она также имеет рейтинг CVSS 9.3 и была устранена в той же сборке Build 9511 от 15 января 2026 года. Особую тревогу специалистов вызывает подтвержденный статус этой уязвимости: она в настоящее время находится под активной эксплуатацией в дикой природе.
Третья устраненная проблема, отслеживаемая под идентификатором CVE-2026-25067, имеет средний уровень опасности с оценкой 6.9 балла. Это уязвимость типа принуждения пути без аутентификации, которая может способствовать атакам NTLM relay. Данная ошибка была выявлена специалистами VulnCheck и исправлена в более поздней версии программного обеспечения — Build 9518, релиз которой состоялся 22 января 2026 года.
Эксплуатация CVE-2026-25067 осуществляется через конечную точку предварительного просмотра функции «фон дня» (background-of-the-day). Приложение декодирует входные данные злоумышленника в формате Base64 без надлежащей проверки и использует их как путь к файловой системе. В среде Windows это позволяет разрешать пути UNC (Universal Naming Convention), заставляя SmarterMail инициировать исходящую аутентификацию SMB на хосте атакующего, что ведет к перехвату учетных данных и несанкционированному доступу к сети.
Хронология выпуска патчей демонстрирует высокую интенсивность угроз в январе 2026 года. Сборка Build 9511, закрывающая CVE-2026-24423 и CVE-2026-23760, стала доступна 15 января, а исправление для CVE-2026-25067 последовало в сборке Build 9518 от 22 января. Учитывая, что две уязвимости SmarterMail подверглись активной эксплуатации за последнюю неделю, переход на последнюю версию является обязательным условием безопасности.
