Una nueva falla de seguridad en el software de correo electrónico SmarterTools SmarterMail ha sido explotada activamente en la naturaleza, dos días después del lanzamiento de un parche.
WatchTowr Labs rastrea la vulnerabilidad, que actualmente no tiene un identificador CVE como WT-2026-0001. SmarterTools lo parchó el 15 de enero de 2026, con Construir 9511tras la divulgación responsable por parte de la plataforma de gestión de exposiciones el 8 de enero de 2026.
Se ha descrito como una falla de omisión de autenticación que podría permitir a cualquier usuario restablecer la contraseña del administrador del sistema SmarterMail mediante una solicitud HTTP especialmente diseñada al punto final «/api/v1/auth/force-reset-password».
«Lo bueno, por supuesto, es que dicho usuario puede utilizar las funciones RCE como característica para ejecutar directamente el sistema operativo. [operating system] comandos», dijeron los investigadores de WatchTowr Labs Piotr Bazydlo y Sina Kheirkhah.
El problema tiene su origen en la función «SmarterMail.Web.Api.AuthenticationController.ForceResetPassword», que no sólo permite llegar al punto final sin autenticación, sino que también aprovecha el hecho de que la solicitud de reinicio va acompañada de un indicador booleano llamado «IsSysAdmin» para manejar la solicitud entrante dependiendo de si el usuario es administrador del sistema o no.
En caso de que el indicador esté configurado en «verdadero» (es decir, que indique que el usuario es un administrador), la lógica subyacente realiza la siguiente secuencia de acciones:
- Obtener la configuración correspondiente al nombre de usuario pasado como entrada en la solicitud HTTP
- Cree un nuevo elemento de administrador del sistema con la nueva contraseña
- Actualice la cuenta de administrador con la nueva contraseña
En otras palabras, la ruta privilegiada está configurada de manera que pueda actualizar trivialmente la contraseña de un usuario administrador enviando una solicitud HTTP con el nombre de usuario de una cuenta de administrador y una contraseña de su elección. Un atacante podría abusar de esta completa falta de control de seguridad para obtener acceso elevado, siempre que tenga conocimiento de un nombre de usuario de administrador existente.
La cosa no termina ahí, ya que la omisión de autenticación proporciona una ruta directa a la ejecución remota de código a través de una funcionalidad incorporada que permite al administrador del sistema ejecutar comandos del sistema operativo en el sistema operativo subyacente y obtener un shell a nivel de SISTEMA.
Esto se puede lograr navegando a la página de Configuración, creando un nuevo volumeny proporcionar un comando arbitrario en el campo Comando de montaje de volumen que posteriormente es ejecutado por el sistema operativo del host.
La empresa de ciberseguridad dijo que decidió hacer público el hallazgo luego de una publicación en el portal comunitario SmarterTools, donde un usuario reclamado que perdieron el acceso a su cuenta de administrador, y los registros indican el uso del mismo punto final «force-reset-password» para cambiar la contraseña el 17 de enero de 2026, dos días después del lanzamiento del parche.
Esto probablemente indica que los atacantes lograron realizar ingeniería inversa en los parches y reconstruir la falla. Para empeorar las cosas, no ayuda que las notas de la versión de SmarterMail sean vagas y no mencionen explícitamente qué problemas se abordaron. Un elemento en la lista con viñetas de la compilación 9511 simplemente menciona «IMPORTANTE: correcciones de seguridad críticas».
En respuesta, el director ejecutivo de SmarterTools, Tim Uzzanti, insinuó que esto se hace para evitar darles más municiones a los actores de amenazas, pero señaló que planean enviar un correo electrónico cada vez que se descubra un nuevo CVE y nuevamente cuando se publique una compilación para resolver el problema.
«En nuestros más de 23 años, hemos tenido sólo unos pocos CVE, que se comunicaban principalmente a través de notas de la versión y referencias de correcciones críticas», Uzzanti dicho en respuesta a las preocupaciones de transparencia planteadas por sus clientes. «Apreciamos los comentarios que alentaron este cambio de política en el futuro».
Actualmente no está claro si esta vez se envió dicho correo electrónico a los administradores de SmarterMail. Hacker News se ha puesto en contacto con SmarterTools para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
El desarrollo se produce menos de un mes después de que la Agencia de Seguridad Cibernética de Singapur (CSA) revelado detalles de una falla de seguridad de máxima gravedad en SmarterMail (CVE-2025-52691, puntuación CVSS: 10.0) que podría explotarse para lograr la ejecución remota de código.
Actualizar
A la vulnerabilidad se le ha asignado el identificador CVE CVE-2026-23760 (puntaje CVSS: N/A), y Huntress señaló que ha observado una explotación en estado salvaje de la vulnerabilidad de apropiación de cuentas privilegiadas que podría resultar en la ejecución remota de código.
La empresa de ciberseguridad también dijo que CVE-2025-52691 ha sido objeto de explotación masiva, por lo que es esencial que los usuarios de SmarterMail actualicen a la última versión lo antes posible.
Jai Minton, gerente senior de ingeniería de detección y búsqueda de amenazas en Huntress, dijo a The Hacker News que CVE-2025-52691 está siendo explotado para ofrecer shells web de baja sofisticación y «cargadores sospechosos de malware escritos en directorios de inicio para lograr persistencia y ejecución cuando se reinicia el sistema».
Minton también afirmó que todas las direcciones IP que intentan explotar CVE-2026-23760 están vinculadas a infraestructura virtual en los EE. UU. y que se desconoce el origen exacto de los ataques. En cuanto a la atribución, no hay evidencia que sugiera que las vulnerabilidades que se explotan estén vinculadas a algún actor de amenaza en particular.
«Dada la gravedad de esta vulnerabilidad, la explotación activa y la explotación del CVE-2025-52691 adicional que se observa en la naturaleza, las empresas deben priorizar la implementación de actualizaciones de SmarterMail y revisar cualquier sistema obsoleto en busca de signos de infección», agregado.
(La historia se actualizó después de la publicación para incluir detalles del CVE y conocimientos de Huntress).
Fuente