CVE-2026-24423

február 6. 08:53

SmarterTools SmarterMail Missing Authentication for Critical Function sérülékenység
Angol cím: SmarterTools SmarterMail Missing Authentication for Critical Function Vulnerability

Publikálás dátuma: 2026.02.06.
Utolsó módosítás dátuma: 2026.02.06.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2026.02.05. – 2026.02.26.

Leírás

A szoftver nem végez semmilyen hitelesítést olyan funkcionalitáshoz, amely bizonyítható felhasználói azonosítót igényel, vagy jelentős mennyiségű erőforrást fogyaszt.

Leírás forrása: CWE-306 Leírás utolsó módosítása: 2025.12.11.

Elemzés leírás

Eredeti nyelven:

SmarterTools SmarterMail versions prior to build 9511 contain an unauthenticated remote code execution vulnerability in the ConnectToHub API method. The attacker could point the SmarterMail to the malicious HTTP server, which serves the malicious OS command. This command will be executed by the vulnerable application.

Elemzés leírás forrása: CVE-2026-24423 Elemzés leírás utolsó módosítása: 2026.02.05.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High