Selon Security Affairs, la Shadowserver Foundation a identifié plus de 6 000 serveurs SmarterMail exposés en ligne et probablement vulnérables à la faille critique CVE-2026-23760, tandis que CISA l’a intégrée à son catalogue KEV, confirmant des tentatives d’exploitation en cours.

• La vulnérabilité CVE-2026-23760 concerne les versions de SmarterTools SmarterMail antérieures au build 9511 et réside dans l’API de réinitialisation de mot de passe. L’endpoint « force-reset-password » accepte des requêtes anonymes et ne vérifie ni l’ancien mot de passe ni un jeton de réinitialisation lors de la réinitialisation des comptes administrateurs. Cette faiblesse entraîne une bypass d’authentification permettant la compromission totale de l’instance SmarterMail.

• Les chercheurs de watchTowr ont divulgué la faille le 8 janvier et publié un proof-of-concept ne nécessitant que le nom d’utilisateur administrateur. SmarterTools a « adressé » le problème le 15 janvier. Un attaquant non authentifié peut détourner un compte administrateur et obtenir une exécution de code à distance (RCE), conduisant potentiellement à la prise de contrôle complète du serveur.

• Shadowserver a intégré CVE-2026-23760 à ses scans HTTP quotidiens et rapporte environ 6 000 IP probablement vulnérables (vérification de version) avec des tentatives d’exploitation observées in the wild ⚠️. Répartition géographique principale: États-Unis ~4,1k, puis Malaisie (449), Inde (188), Canada (166) et R.-U. (146).

• La CISA a ajouté la faille à son Known Exploited Vulnerabilities (KEV) catalog et a demandé aux agences FCEB de la traiter avant le 16 février 2026.

TTPs observés/rapportés:

  • Exploitation d’un endpoint de réinitialisation de mot de passe acceptant des requêtes anonymes (bypass d’authentification)
  • Prise de contrôle de comptes administrateurs via soumission d’un nouveau mot de passe sans vérification préalable
  • Publication d’un PoC ne nécessitant que le nom d’utilisateur admin
  • Exploitation active détectée par des scans et observations Shadowserver

Aucun IOC n’est fourni dans l’article. Il s’agit d’un article de presse spécialisé visant à alerter sur une vulnérabilité activement exploitée et la surface d’exposition associée.

🔗 Source originale : https://securityaffairs.com/187394/hacking/shadowserver-finds-6000-likely-vulnerable-smartermail-servers-exposed-online.html