Explotación activa dunha vulnerabilidade crítica en SmarterMail permite o control total do servidor

alerta ciber
Empresas
Administración Pública
Vulnerabilidades
Nivel de alerta
Crítico

Confirmouse a explotación activa da vulnerabilidade crítica CVE 2026 23760 que afecta a SmarterMail en versións anteriores á Build 9511 publicada o 15 de xaneiro de 2026.

A vulnerabilidade permite a omisión de autenticación na API de restablecemento de contrasinal o que facilita a toma de control de contas administrativas e a posible execución de comandos a nivel sistema no servidor afectado.

CVSS 9.3
Explotación activa confirmada

Descrición técnica
A vulnerabilidade localízase no endpoint

/api/v1/auth/force-reset-password

Permite enviar solicitudes non autenticadas para forzar o cambio de contrasinal de contas administrativas sen requirir verificación previa nin token válido de restablecemento.

Un atacante pode:

  • Asignar un novo contrasinal a unha conta administradora
  • Acceder á interface de administración
  • Executar comandos do sistema operativo mediante as funcionalidades internas
  • Instalar portas traseiras persistentes
  • Obter acceso completo ao host


Diversas organizacións de seguridade confirmaron explotación activa poucos días despois da publicación do parche. Identificáronse arredor de 6000 enderezos IP expostos con versións vulnerables.

Impacto potencial nas organizacións

  • Compromiso total do servidor de correo
  • Acceso non autorizado ás contas e aos contidos das caixas de correo
  • Movemento lateral na rede corporativa
  • Instalación de malware ou web shells
  • Interrupción do servizo


Tendo en conta que SmarterMail adoita empregarse en contornas on premise de pemes e administracións locais o risco operativo é elevado.

Recomendacións inmediatas

  1. Verificar a versión instalada
    Confirmar que o servidor executa Build 9511 ou superior
  2. Actualizar de maneira urxente
    Aplicar o parche oficial sen demora
  3. Revisar os rexistros administrativos
    Comprobar restablecementos de contrasinal non autorizados
    Analizar a creación de eventos do sistema sospeitosos
  4. Comprobar persistencia
    Auditar a posible presenza de web shells ou tarefas programadas anómalas
  5. Rotar credenciais administrativas
    Forzar o cambio de contrasinais tras a actualización


Aplicabilidade en Galicia
Calquera entidade pública ou privada en Galicia que empregue SmarterMail en infraestrutura propia debe verificar de inmediato a súa exposición. Recoméndase especial atención en:

  • Entidades locais
  • Provedores TIC municipais
  • Peme con correo autoxestionado
  • Centros educativos

Información relacionada

Ligazóns de interese
NIST: NVD
Detalles da vulnerabilidade