(https://i.imgur.com/1lrZQEW.jpeg)
Una nueva vulnerabilidad de seguridad en el software de correo SmarterMail ha sido detectada bajo explotación activa en la naturaleza apenas dos días después de la publicación del parche oficial, lo que vuelve a poner en evidencia la rapidez con la que los atacantes analizan, reconstruyen y operacionalizan fallos de seguridad a partir de actualizaciones recientes.
El fallo, inicialmente sin identificador CVE y rastreado por watchTowr Labs como WT-2026-0001, fue corregido por SmarterTools el 15 de enero de 2026 con el lanzamiento de SmarterMail Build 9511, tras una divulgación responsable realizada el 8 de enero de 2026. Posteriormente, a la vulnerabilidad se le asignó el identificador CVE-2026-23760, con una puntuación CVSS de 9,3, lo que confirma su criticidad elevada.
Un bypass de autenticación con impacto totalLa vulnerabilidad fue descrita como un fallo de evasión de autenticación que permite a cualquier usuario remoto, sin necesidad de credenciales válidas, restablecer la contraseña de una cuenta administradora del sistema SmarterMail mediante una solicitud HTTP especialmente diseñada al endpoint:
/api/v1/auth/force-reset-passwordSegún los investigadores de watchTowr Labs, Piotr Bazydlo y Sina Kheirkhah, este fallo no solo concede acceso administrativo completo, sino que abre la puerta directa a la ejecución remota de código (RCE) mediante funcionalidades legítimas integradas en la plataforma.
Citar"Lo más interesante es que dicho usuario puede usar funciones de RCE incorporadas para ejecutar directamente comandos del sistema operativo", explicaron los investigadores.
Análisis técnico del falloEl origen del problema se encuentra en la función interna SmarterMail.Web.Api.AuthenticationController.ForceResetPassword, que presenta dos fallos críticos de diseño:
- Permite acceder al endpoint sin ningún tipo de autenticación previa.
- Confía ciegamente en una bandera booleana controlada por el usuario, denominada IsSysAdmin, para determinar si la solicitud debe tratarse como una acción privilegiada.
Cuando el atacante establece esta bandera como verdadera, la lógica del backend ejecuta automáticamente una secuencia de acciones de alto riesgo:
- Recupera la configuración del usuario especificado en la solicitud HTTP.
- Crea o modifica un objeto de administrador del sistema con una nueva contraseña.
- Actualiza la cuenta de administrador existente con la contraseña proporcionada por el atacante.
En la práctica, cualquier atacante que conozca o pueda adivinar el nombre de usuario de un administrador puede tomar control total del sistema SmarterMail enviando una sola petición HTTP.
De acceso administrativo a ejecución remota de códigoEl impacto no se limita al control de la interfaz de administración. Una vez autenticado como administrador del sistema, el atacante obtiene acceso a una funcionalidad incorporada que permite ejecutar comandos del sistema operativo subyacente.
Esto puede lograrse navegando a la sección de Configuración, creando un nuevo volumen y suministrando un comando arbitrario en el campo "Comando de Montaje de Volumen", el cual es ejecutado directamente por el sistema operativo del host. De esta forma, el atacante puede obtener un shell con privilegios de SISTEMA, comprometiendo por completo el servidor de correo.
Explotación tras el parche: ingeniería inversa en tiempo récordwatchTowr Labs decidió hacer público el hallazgo tras la aparición de una publicación en el Portal de la Comunidad SmarterTools, donde un usuario afirmó haber perdido el acceso a su cuenta de administrador. Los registros mostraban el uso del endpoint vulnerable para cambiar la contraseña el 17 de enero de 2026, apenas dos días después del lanzamiento del parche.
Este incidente sugiere con alta probabilidad que los atacantes realizaron ingeniería inversa del parche, identificaron el fallo corregido y reconstruyeron el exploit en un periodo de tiempo extremadamente corto.
La situación se vio agravada por el hecho de que las notas de lanzamiento de SmarterMail fueron deliberadamente vagas. En el caso de la Build 9511, una simple línea indicaba: "IMPORTANTE: Correcciones críticas de seguridad", sin detallar la naturaleza del problema.
Debate sobre transparencia y comunicaciónEn respuesta a las críticas, el CEO de SmarterTools, Tim Uzzanti, defendió esta práctica como una medida para no proporcionar pistas adicionales a actores maliciosos, aunque reconoció la necesidad de mejorar la comunicación.
Uzzanti afirmó que la empresa planea enviar correos electrónicos a los administradores cada vez que se descubra un nuevo CVE y nuevamente cuando se publique una versión que lo corrija. No obstante, no está claro si esta notificación se envió en este caso concreto.
Un patrón preocupante: vulnerabilidades críticas recurrentesEste incidente se produce menos de un mes después de que la Agencia de Ciberseguridad de Singapur (CSA) revelara una vulnerabilidad de máxima gravedad en SmarterMail, identificada como CVE-2025-52691 (CVSS 10.0), que también permite ejecución remota de código y que, según Huntress, ha sido explotada de forma masiva.
Huntress informó que CVE-2025-52691 se está utilizando para desplegar webshells de baja sofisticación y cargadores de malware escritos en directorios de inicio, logrando persistencia y ejecución tras reinicios del sistema.
Respecto a CVE-2026-23760, Huntress confirmó explotación activa en la naturaleza, con intentos de toma de control de cuentas privilegiadas que podrían derivar en RCE. Todas las IPs observadas estaban asociadas a infraestructura virtual en Estados Unidos, aunque sin atribución clara a un actor de amenazas específico.
Recomendaciones urgentesDada la gravedad del fallo, la explotación activa confirmada y el historial reciente de vulnerabilidades críticas en SmarterMail, los expertos recomiendan:
- Actualizar inmediatamente a la última versión de SmarterMail
- Auditar sistemas en busca de signos de compromiso
- Revisar cuentas administrativas y rotar credenciales
- Monitorizar logs HTTP y accesos sospechosos al endpoint de autenticación
- Eliminar o aislar sistemas obsoletos expuestos a Internet
Este caso refuerza una realidad incuestionable en ciberseguridad moderna: el tiempo entre parche y explotación es cada vez más corto, y retrasar una actualización crítica puede traducirse en una comprometida total del sistema.
Fuente: https://thehackernews.com/