CSIRT Toscana Risolte vulnerabilità in SmarterMail (AL02/260130/CSIRT-ITA)
Data:
6 Febbraio 2026
Impatto Sistemico
Critico (78.58)
Sintesi
Rilasciati aggiornamenti per risolvere una vulnerabilità di sicurezza, con gravità “critica” che interessa SmarterMail, soluzione mail server on‑premises. Tale vulnerabilità, qualora sfruttata, consentirebbe a un attaccante remoto di eseguire codice arbitrario sui sistemi interessati, eludendo i meccanismi di autenticazione.
Tipologia
- Authentication Bypass
- Remote Code Execution
Descrizione e potenziali impatti
Rilasciati aggiornamenti per risolvere una vulnerabilità di sicurezza, con gravità “critica” che interessa SmarterMail, soluzione mail server on‑premises. Tale vulnerabilità, qualora sfruttata, consentirebbe a un attaccante remoto di eseguire codice arbitrario sui sistemi interessati, eludendo i meccanismi di autenticazione.
In particolare, la vulnerabilità è dovuta alla mancanza di autenticazione da parte della API ConnectToHub . Ciò consente, tramite l’invio di una richiesta HTTP opportunamente predisposta, di di eseguire codice arbitrario sul sistema operativo con i privilegi dell’applicazione SmarterMail.
Prodotti e/o versioni affette
- SmarterMail, versioni precedenti alla build 9511
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente le versioni vulnerabili all’ultima release disponibile.
Riferimenti
- https://www.smartertools.com/smartermail/downloads
- https://www.smartertools.com/smartermail/release-notes/current
CVE
| CVE-ID |
|---|
| CVE-2026-24423 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 30-01-2026 | 30/01/2026 |
| 1.1 | Aggiornata sezione “CVE” in quanto rilevata PoC e sfruttamento attivo in rete della CVE-2026-24423. Ricalcolato Impatto Sistemico. | 06/02/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
6 Febbraio 2026, 08:30