Explotación activa de vulnerabilidad crítica en SmarterMail permite toma total del servidor

alerta ciber
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Crítico

Se ha confirmado la explotación activa de la vulnerabilidad crítica CVE 2026 23760 que afecta a SmarterMail en versiones anteriores al Build 9511 publicado el 15 de enero de 2026. 

La vulnerabilidad permite el bypass de autenticación en la API de reseteo de contraseña lo que facilita la toma de control de cuentas administrativas y la posible ejecución de comandos a nivel sistema en el servidor afectado.


CVSS 9.3
Explotación activa confirmada

Descripción técnica


La vulnerabilidad se encuentra en el endpoint

/api/v1/auth/force-reset-password

Permite enviar solicitudes no autenticadas para forzar el cambio de contraseña de cuentas administrativas sin requerir verificación previa ni token de reseteo válido.

Un atacante puede:

  • Asignar una nueva contraseña a un administrador
  • Acceder a la interfaz administrativa
  • Ejecutar comandos del sistema operativo desde las funcionalidades internas
  • Instalar puertas traseras persistentes
  • Obtener acceso completo al host


Diversos investigadores han confirmado explotación activa pocos días después de la publicación del parche. Se han identificado aproximadamente 6000 direcciones IP expuestas con versiones vulnerables.

Impacto potencial en organizaciones

  • Compromiso total del servidor de correo
  • Robo de credenciales y buzones
  • Movimiento lateral dentro de la red
  • Instalación de malware o web shells
  • Interrupción de servicio


Dado que SmarterMail se utiliza frecuentemente en entornos on premise de pymes y administraciones locales el riesgo operativo es elevado.

Recomendaciones inmediatas

  1. Verificar versión instalada
    Confirmar que el servidor ejecuta Build 9511 o superior
  2. Actualizar de forma urgente
    Aplicar el parche oficial sin demora
  3. Revisar logs administrativos
    Buscar reseteos de contraseña no autorizados
    Revisar creación de eventos del sistema sospechosos
  4. Comprobar persistencia
    Auditar presencia de web shells o tareas programadas anómalas
  5. Cambiar credenciales administrativas
    Forzar rotación de contraseñas tras actualización


Aplicabilidad en Galicia
Cualquier entidad pública o privada en Galicia que utilice SmarterMail en infraestructura propia debe verificar inmediatamente su exposición. Se recomienda especial atención en:

  • Entidades locales
  • Proveedores TIC municipales
  • Pymes con correo auto gestionado
  • Centros educativos

Información relacionada

Enlaces de interés
NIST: NVD
Detalles de la vulnerabilidad