SmarterMail Auth Bypass exploité dans la nature deux jours après la sortie du correctif

The Hacker News - TheHackerNews - 22/01
Une faille SmarterMail récemment corrigée est exploitée dans la nature, permettant aux attaquants de réinitialiser les mots de passe administrateur et d'obtenir l'exécution de code au niveau du SYSTÈME.

Une nouvelle faille de sécurité dans le logiciel de messagerie SmarterTools SmarterMail a été activement exploitée, deux jours après la publication d'un correctif.

La vulnérabilité, qui n'a actuellement pas d'identifiant CVE, est suivie par watchTowr Labs sous le numéro WT-2026-0001. Il a été corrigé par SmarterTools le 15 janvier 2026, avec la version 9511, suite à une divulgation responsable par la plateforme de gestion de l'exposition le 8 janvier 2026.

Il a été décrit comme une faille de contournement d'authentification qui pourrait permettre à n'importe quel utilisateur de réinitialiser le mot de passe de l'administrateur système SmarterMail au moyen d'une requête HTTP spécialement conçue au point de terminaison "/api/v1/auth/force-res...
[Courte citation de 8% de l'article original]

Loading...