SmarterMail

Source: SmarterTools (communiqué de Derek Curtis). Contexte: retour d’expérience après une intrusion constatée le 29 janvier 2026, avec précisions sur l’impact, les correctifs SmarterMail et les comportements malveillants observés chez des clients. SmarterTools indique qu’un serveur SmarterMail Windows non mis à jour (VM oubliée) a servi de point d’entrée, entraînant une intrusion réseau. La segmentation a limité l’impact: le site, la boutique et le portail clients n’ont pas été affectés; aucune application métier ni donnée de compte compromise. Des serveurs de lab/QC au data center ont été restaurés depuis une sauvegarde de 6 h par prudence. ...

Selon Security Affairs, la Shadowserver Foundation a identifié plus de 6 000 serveurs SmarterMail exposés en ligne et probablement vulnérables à la faille critique CVE-2026-23760, tandis que CISA l’a intégrée à son catalogue KEV, confirmant des tentatives d’exploitation en cours. • La vulnérabilité CVE-2026-23760 concerne les versions de SmarterTools SmarterMail antérieures au build 9511 et réside dans l’API de réinitialisation de mot de passe. L’endpoint « force-reset-password » accepte des requêtes anonymes et ne vérifie ni l’ancien mot de passe ni un jeton de réinitialisation lors de la réinitialisation des comptes administrateurs. Cette faiblesse entraîne une bypass d’authentification permettant la compromission totale de l’instance SmarterMail. ...

Selon un billet technique de watchTowr Labs (Piotr Bazydlo), s’appuyant sur un avis de la Cyber Security Agency (CSA) de Singapour, une vulnérabilité critique CVE-2025-52691 dans SmarterTools SmarterMail permet une exécution de code à distance pré-authentifiée (CVSS 10), corrigée en build 9413 (10 oct. 2025) alors que l’avis public n’est paru qu’en fin décembre 2025. Le produit concerné est SmarterMail (serveur e-mail/collaboration Windows/Linux). Les chercheurs notent un possible correctif silencieux en octobre (build 9413) précédant la divulgation officielle, les notes de version mentionnant seulement des « general security fixes ». Les versions analysées montrent 9406 vulnérable et 9413 non vulnérable (build 9483 était la plus récente au moment de l’article). ...