В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярном почтовом сервере SmarterMail от компании SmarterTools. Уязвимость, получившая идентификаторы BDU:2026-00824 и CVE-2026-23760, связана с обходом аутентификации и позволяет удаленному злоумышленнику сбросить пароль администратора до значения по умолчанию. Эксперты оценивают угрозу как критическую, поскольку для успешной атаки не требуются никакие предварительные права доступа или взаимодействие с пользователем.
Детали уязвимости
Уязвимость затрагивает прикладной программный интерфейс (API) "force-reset-password". Злоумышленник может отправить специально сформированный POST-запрос к этому интерфейсу, что приведет к сбросу пароля учетной записи администратора. В результате атакующий получает полный несанкционированный доступ к управлению почтовым сервером. Это открывает путь для кражи конфиденциальной переписки, установки вредоносного ПО или использования сервера в качестве плацдарма для дальнейших атак внутри сети организации.
Согласно классификации Common Weakness Enumeration, проблема относится к категории CWE-288, то есть представляет собой обход аутентификации посредством использования альтернативного пути или канала. Уязвимы все версии SmarterMail до сборки 9511. Производитель уже подтвердил наличие проблемы и выпустил исправление.
Оценка по всем основным версиям системы Common Vulnerability Scoring System подтверждает высочайший уровень опасности. Базовая оценка CVSS 2.0 составляет максимальные 10.0 баллов. В CVSS 3.1 уязвимость оценивается в 9.8 баллов, а по методологии CVSS 4.0 - в 9.3 балла. Все три оценки соответствуют критическому уровню. В частности, вектор атаки - сетевой, сложность атаки - низкая, а для эксплуатации не нужны ни привилегии (PR:N), ни взаимодействие с пользователем (UI:N). Воздействие на конфиденциальность, целостность и доступность оценивается как высокое.
Важно отметить, что информация об уязвимости, включая технические детали и концепцию эксплуатации, уже опубликована в открытом доступе. Это значительно повышает риски, так как снижает порог входа для потенциальных атакующих. Следовательно, администраторам необходимо действовать быстро.
Основной мерой по устранению уязвимости является немедленное обновление программного обеспечения до версии SmarterMail 9511 или выше. Актуальные версии и исправления доступны на официальном сайте производителя. Однако в связи с текущей геополитической обстановкой и санкциями, БДУ рекомендует российским организациям устанавливать обновления только после тщательной оценки всех сопутствующих рисков.
Помимо установки патчей, эксперты предлагают ряд компенсирующих мер для снижения угрозы. Во-первых, рекомендуется использовать межсетевые экраны уровня веб-приложений (WAF) для фильтрации подозрительных HTTP-запросов, особенно к пути "/api/v1/auth/force-reset-password". Во-вторых, следует рассмотреть возможность ограничения доступа к административным интерфейсам почтового сервера из внешних сетей, реализовав схему доступа по «белым спискам».
Кроме того, крайне полезным будет внедрение двухфакторной аутентификации для всех учетных записей с привилегиями администратора. Это не устранит саму уязвимость, но существенно усложнит злоумышленнику использование скомпрометированных учетных данных. Также рекомендуется настроить мониторинг в системах класса SIEM на предмет событий, связанных с обращением к уязвимому API. В случае обнаружения факта несанкционированного изменения паролей их необходимо немедленно сменить.
Данный инцидент в очередной раз подчеркивает важность регулярного аудита безопасности внешне доступных интерфейсов управления, особенно тех, что отвечают за критичные функции вроде сброса паролей. Уязвимости, связанные с обходом аутентификации, остаются одним из самых опасных классов угроз, так как часто предоставляют злоумышленнику максимальные привилегии минимальными усилиями. Администраторам систем, использующих SmarterMail, настоятельно рекомендуется проверить версию своего ПО и принять меры в кратчайшие сроки.
Ссылки
- https://bdu.fstec.ru/vul/2026-00824
- https://www.cve.org/CVERecord?id=CVE-2026-23760
- https://www.smartertools.com/smartermail/release-notes/current
- https://labs.watchtowr.com/attackers-with-decompilers-strike-again-smartertools-smartermail-wt-2026-0001-auth-bypass/
- https://code-white.com/public-vulnerability-list/#authenticationserviceforceresetpassword-missing-authentication-in-smartermail
- https://www.vulncheck.com/advisories/smartertools-smartermail-authentication-bypass-via-password-reset-api
