NCSC-2026-0040 [1.01] [H/H] Kwetsbaarheid verholpen in SmarterTools SmarterMail

09:25 - 06 Feb 2026

SmarterTools heeft kwetsbaarheden verholpen in SmarterMail. Een kwaadwillende kan de kwetsbaarheden misbruiken om authenticatie te omzeilen en willekeurige code uit te voeren met rechten van de beheerder, en mogelijk SYSTEM. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de API-interface (met name de `/api/v1/auth/force-reset-password` endpoint) en kan op die manier zonder voorafgaande authenticatie het wachtwoord van een beheerder resetten door middel van een speciaal geprepareerd HTTP-verzoek. Ook kan een kwaadwillende een malafide HTTP-server inrichten, om daarmee een slachtoffer te misleiden deze te bezoeken en zo willekeurige code uit te voeren op de kwetsbare server. Voor de kwetsbaarheid met kenmerk CVE-2026-23760 is Proof-of-Concept-code gepubliceerd en het Amerikaanse CISA heeft de kwetsbaarheid op de Known Exploited Vulnerabilities-lijst geplaatst, wat aangeeft dat de kwetsbaarheid actief is misbruikt. **Update** Er wordt inmiddels ook misbruik waargenomen van de kwetsbaarheid met kenmerk CVE-2026-24423, waarmee een kwaadwillende willekeurige code kan uitvoeren op de kwetsbare server. Er is (nog) geen publieke Proof-of-Concept-code of exploit beschikbaar, en voor zover bekend vereist misbruik een speciaal ingerichte server onder controle van de kwaadwillende.