CSIRT Toscana SmarterMail: rilevato sfruttamento di vulnerabilità zero-day (AL02/260123/CSIRT-ITA)
Data:
23 Gennaio 2026
Impatto Sistemico
Critico (77.94)
Sintesi
È stato recentemente rilevato lo sfruttamento di una vulnerabilità zero-day che interessa SmarterMail, soluzione mail server on‑premises. Tale vulnerabilità, qualora sfruttata, consentirebbe a un attaccante remoto di eludere i meccanismi di autenticazione, ottenere accesso come amministratore ed eseguire successivamente comandi arbitrari sul sistema operativo.
Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.
Tipologia
- Authentication Bypass
- Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento di una vulnerabilità zero-day che interessa SmarterMail, soluzione mail server on‑premises. Tale vulnerabilità, identificata tramite la CVE-2026-23760 e di tipo “Authentication Bypass”, consentirebbe a un attaccante remoto di eludere i meccanismi di autenticazione, ottenere accesso come amministratore ed eseguire successivamente comandi arbitrari sul sistema operativo.
In particolare, la vulnerabilità risiede nell’endpoint /api/v1/auth/force-reset-password — esposto senza autenticazione — che accetta un input JSON contenente il parametro controllato dal client “ IsSysAdmin=true” e consente, a chiunque sia a conoscenza dell’username di un account amministratore valido, di eseguire il reset della password di account amministrativi senza alcuna verifica delle vecchie credenziali. Ciò permette a un eventuale attaccante, tramite una richiesta HTTP opportunamente predisposta, di reimpostare la password dell’amministratore conoscendone il solo username. Una volta ottenuto l’accesso come admin, l’attaccante può sfruttare funzionalità legittime riservate agli amministratori — come i Volume Mount Commands — per eseguire comandi arbitrari sul sistema operativo con privilegi elevati. In definitiva, la vulnerabilità consente la compromissione totale del server SmarterMail, permettendo a un attaccante di passare da un semplice bypass dell’autenticazione alla completa esecuzione di codice remoto.
Prodotti e/o versioni affette
SmarterMail, versioni precedenti alla build 9511
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente le versioni vulnerabili all’ultima release disponibile.
Riferimenti
- https://www.smartertools.com/smartermail/release-notes/current
- https://www.smartertools.com/smartermail/downloads
CVE
| CVE-ID |
|---|
| CVE-2026-23760 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 23-01-2026 | 23/01/2026 |
| 1.1 | Aggiunta la CVE-2026-24061 e i relativi dettagli | 23/01/2026 |
| 1.2 | Modificata la sezione “Prodotti e/o versioni affette” | 23/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
23 Gennaio 2026, 17:00