Przejdź do treści
Alerty bezpieczeństwa Zaktualizowano: 4 lutego 2026 2 min czytania

CVE-2026-23760: Krytyczna podatność w SmarterMail - natychmiastowa aktualizacja wymagana

SmarterTools SmarterMail zawiera podatność ominięcia uwierzytelniania w API resetowania hasła. Endpoint force-reset-password pozwala na anonimowe żądania i nie weryfikuje hasła ani tokenu resetowania...

Marcin Godula Marcin Godula

Podsumowanie

ParametrWartość
CVE IDCVE-2026-23760
Rok publikacji CVE2026
Data dodania do CISA KEV2026-01-26
VendorSmarterTools
ProduktSmarterMail
CVSS Score9.8 (Krytyczny)
Status CISA KEVTak - potwierdzona aktywna eksploatacja
RansomwareNie potwierdzono
Termin na reakcję2026-02-16

Opis podatności

SmarterTools SmarterMail zawiera podatność ominięcia uwierzytelniania poprzez alternatywną ścieżkę lub kanał w API resetowania hasła. Endpoint force-reset-password pozwala na anonimowe żądania i nie weryfikuje istniejącego hasła ani tokenu resetowania podczas resetowania kont administratorów systemowych. Może to pozwolić nieuwierzytelnionemu atakującemu na podanie docelowej nazwy użytkownika administratora i nowego hasła w celu zresetowania konta, co skutkuje pełnym przejęciem uprawnień administracyjnych w instancji SmarterMail.

Wymagane działania

Zastosuj środki zaradcze zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych, lub zaprzestań używania produktu jeśli środki zaradcze są niedostępne.

Kogo dotyczy?

Podatność dotyczy produktu SmarterMail firmy SmarterTools. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.

Źródła

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami. Skontaktuj się z nami.

Powiązane pojęcia

Poznaj kluczowe terminy związane z tym artykułem w naszym słowniku cyberbezpieczeństwa:

  • CVE — CVE (Common Vulnerabilities and Exposures) to międzynarodowy system…
  • CIS — CIS to organizacja zajmująca się tworzeniem i promowaniem najlepszych praktyk w…
  • ISA — Information Security Architecture (ISA) to strukturalne podejście do…

Dowiedz się więcej

Zapoznaj się z powiązanymi artykułami w naszej bazie wiedzy:

Sprawdź nasze usługi

Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź:

Tagi:

cve-2026-23760 critical smartertools cisa-kev podatnosc

Udostępnij:

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2