کمیته رکن چهارم – آژانس امنیت سایبری و زیرساخت ایالات متحده آمریکا (CISA) نسبت به سوءاستفاده فعال عوامل باجافزار از یک آسیبپذیری بحرانی در نرمافزار SmarterMail هشدار داده است؛ نقصی که امکان اجرای کد از راه دور بدون نیاز به احراز هویت را برای مهاجمان فراهم میکند.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2026-24423 نسخههای SmarterTools SmarterMail پیش از بیلد ۹۵۱۱ را تحت تأثیر قرار میدهد. SmarterMail یک سرور ایمیل و پلتفرم همکاری مبتنی بر ویندوز است که بهصورت خودمیزبان استفاده میشود و خدماتی مانند SMTP، IMAP، POP، وبمیل، تقویم و مدیریت مخاطبان را ارائه میدهد. این محصول بهطور گسترده توسط ارائهدهندگان خدمات مدیریتشده، کسبوکارهای کوچک و متوسط و شرکتهای میزبانی ایمیل مورد استفاده قرار میگیرد.
بر اساس اعلام CISA، نقص یادشده ناشی از فقدان احراز هویت برای یک متد حیاتی API با نام ConnectToHub است که به مهاجم اجازه میدهد سامانه SmarterMail را به یک سرور HTTP مخرب متصل کرده و در نهایت فرمانهای سیستمعامل را اجرا کند. این موضوع، مسیر مستقیمی برای اجرای کد از راه دور و استقرار باجافزار فراهم میکند.
این آسیبپذیری بهصورت مسئولانه توسط پژوهشگران امنیتی شناسایی و در تاریخ ۲۵ دی ۱۴۰۴ (۱۵ ژانویه ۲۰۲۶) با انتشار SmarterMail Build 9511 برطرف شده است. با این حال، CISA به دلیل مشاهده بهرهبرداری فعال، این نقص را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است.
CISA از نهادهای فدرال و سازمانهایی که مشمول دستورالعمل BOD 22-01 هستند خواسته است حداکثر تا ۷ اسفند ۱۴۰۴ (۲۶ فوریه ۲۰۲۶) نسبت به نصب بهروزرسانیهای امنیتی یا توقف استفاده از این محصول اقدام کنند.
در همین بازه زمانی، یک آسیبپذیری دیگر از نوع دور زدن احراز هویت نیز در SmarterMail شناسایی شده که امکان بازنشانی گذرواژه مدیر سامانه را بدون راستیآزمایی فراهم میکند. این نقص که هنوز شناسه CVE رسمی دریافت نکرده، بنا بر گزارشها اندکی پس از وصله اولیه، مورد سوءاستفاده قرار گرفته است.
در ادامه، شرکت SmarterTools چندین نقص بحرانی دیگر را نیز برطرف کرده و به مدیران سامانهها توصیه شده است برای کاهش ریسک، هرچه سریعتر به جدیدترین نسخه موجود یعنی SmarterMail Build 9526 که در ۱۰ بهمن ۱۴۰۴ (۳۰ ژانویه ۲۰۲۶) منتشر شده، بهروزرسانی کنند.
منبع: BleepingComputer
