悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を

SmarterToolsが提供するメール製品「SmarterMail」における深刻な脆弱性が攻撃の標的となっている。侵害調査や最新版への更新が呼びかけられている。

認証を必要とすることなく、サーバ上の任意の場所にファイルをアップロードし、リモートより任意のコードを実行できる「CVE-2025-52691」が悪用されていることがわかった。

CVE番号を採番したシンガポールのサイバーセキュリティ庁は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最大値となる「10.0」と評価。現地時間2025年10月9日にリリースされた「ビルド9413」において修正されている。

2026年に入ると、パスワードリセットAPIにおいて認証をバイパスできる脆弱性「CVE-2026-23760」が明らかとなった。管理者権限を取得され、最終的には「SmarterMail」が稼働するサーバ全体を掌握されるおそれもある。

また悪用の報告はないものの、HTTPサーバに誘導することで「ConnectToHub API」において認証を必要とすることなくリモートよりコードを実行できる脆弱性「CVE-2026-24423」も判明している。

「CVE-2026-23760」「CVE-2026-24423」は、いずれも共通脆弱性評価システム「CVSSv4.0」においてベーススコアが「9.3」と評価されており、現地時間2026年1月15日にリリースされた「ビルド9511」にて修正された。

（Security NEXT - 2026/01/27 ）ツイート