Uma vulnerabilidade crítica nos servidores de e-mail corporativo e colaboração SmarterTools SmarterMail está sendo ativamente explorada por cibercriminosos, segundo alerta da agência de segurança cibernética dos Estados Unidos, a CISA.
Há cerca de duas semanas, pesquisadores de segurança já haviam identificado a exploração de uma falha de bypass de autenticação no SmarterMail, utilizada por atacantes para redefinir senhas de contas administrativas e assumir o controle de instâncias vulneráveis. Na semana passada, a CISA incluiu essa falha em seu catálogo de Known Exploited Vulnerabilities (KEV), juntamente com um segundo problema explorado na mesma campanha.
Agora, a agência emitiu um novo alerta informando que uma terceira vulnerabilidade no SmarterMail também está sendo explorada ativamente. A falha é identificada como CVE-2026-24423, possui pontuação CVSS 9.3 e permite execução remota de código (RCE) sem autenticação, por meio da API ConnectToHub.
De acordo com a descrição técnica, a API processa requisições controladas por um servidor remoto, o que possibilita que atacantes definam parâmetros arbitrários de execução de comandos. Esses parâmetros são então repassados ao endpoint vulnerável, resultando na execução de comandos no sistema afetado, independentemente da plataforma.
Segundo um alerta do NIST, um invasor pode direcionar o SmarterMail para um servidor HTTP malicioso, que retorna um comando de sistema operacional fraudulento. Esse comando é executado automaticamente pela aplicação vulnerável.
A empresa VulnCheck aponta que a causa raiz do problema está no fato de a API ConnectToHub permitir explicitamente usuários anônimos e processar dados JSON enviados via requisições POST. Com isso, atacantes podem definir comandos de mount com parâmetros maliciosos e, ao executá-los, elevar privilégios em sistemas Linux.
Em 15 de janeiro, a SmarterTools lançou o build 9511 do SmarterMail, que corrige a CVE-2026-24423 e as duas vulnerabilidades anteriores já exploradas. A recomendação é que as organizações atualizem suas instâncias o quanto antes.
Na última quinta-feira, a CISA adicionou oficialmente a CVE-2026-24423 ao catálogo KEV e determinou que agências federais realizem a correção até 26 de fevereiro, alertando que a falha já está sendo utilizada por grupos de ransomware.
A agência também definiu um prazo semelhante para a correção da CVE-2025-11953, uma vulnerabilidade crítica de injeção de comandos no React Native, explorada ativamente desde dezembro.
Para saber mais, clique aqui.