SmarterMailの認証バイパス脆弱性、パッチ公開からわずか2日で悪用が確認

概要

メールソフトウェアSmarterMailに新たなセキュリティ脆弱性が発見され、パッチの公開からわずか2日後にはすでに活発な悪用が確認されています。この脆弱性（watchTowr LabsによってWT-2026-0001として追跡）は、認証バイパスの欠陥であり、特別に細工されたHTTPリクエストを/api/v1/auth/force-reset-passwordエンドポイントに送信することで、任意のユーザーがSmarterMailシステム管理者のパスワードをリセットできる可能性があります。この脆弱性は、2026年1月8日にwatchTowr LabsがSmarterToolsに責任を持って開示し、SmarterToolsは1月15日にBuild 9511で修正パッチをリリースしていました。

脆弱性の詳細

この脆弱性の根源は、SmarterMail.Web.Api.AuthenticationController.ForceResetPassword関数にあります。この関数は、認証なしでエンドポイントへのアクセスを許容するだけでなく、リセット要求に付随するIsSysAdminというブール型フラグを利用しています。

リクエストでIsSysAdminフラグが「true」に設定されている場合、システムは以下の一連のアクションを実行します:

HTTPリクエストで渡されたユーザー名に対応する設定を取得する
新しいパスワードで新しいシステム管理者項目を作成する
管理者アカウントを新しいパスワードで更新する

このセキュリティ制御の完全な欠如は、攻撃者が既存の管理者ユーザー名を知っている場合、容易に昇格されたアクセス権を取得するために悪用される可能性があります。

さらに、この認証バイパスは、システム管理者が基盤となるオペレーティングシステム上でOSコマンドを実行し、SYSTEMレベルのシェルを取得できる組み込み機能を通じて、リモートコード実行（RCE）への直接的な経路を提供します。これは、設定ページで新しいボリュームを作成し、ボリュームマウントコマンドフィールドに任意のコマンドを指定することで達成できます。

活発な悪用とベンダーの対応

パッチがリリースされたわずか2日後の2026年1月17日、SmarterToolsコミュニティポータルへの投稿で、ユーザーが管理者アカウントへのアクセスを失ったと報告しました。ログには、まさにこのforce-reset-passwordエンドポイントが悪用されたことが示されていました。これは、攻撃者がパッチをリバースエンジニアリングして脆弱性を再構築した可能性が高いことを示唆しています。

SmarterMailのリリースノートは曖昧であり、どの問題が対処されたかを明示的に言及していません。Build 9511のリリースノートには「重要：重大なセキュリティ修正」とだけ記載されていました。SmarterToolsのCEOであるTim Uzzanti氏は、これは脅威アクターにさらなる情報を提供しないためであると示唆しましたが、今後は新しいCVEが発見されるたびに、そしてその問題を解決するビルドがリリースされるたびにメールを送信する予定であると述べました。

SmarterToolsはThe Hacker Newsに対し、1月15日に脆弱性の修正をリリースし、すべての顧客に最新バージョンへのアップデートを求める通知を送ったと語っています。

推奨事項

この脆弱性の深刻度、およびCVE-2026-23760とCVE-2025-52691の両方の活発な悪用が確認されていることを踏まえ、企業はSmarterMailのアップデート展開を優先し、感染の兆候がないか古いシステムをレビューするべきです。

元記事: https://thehackernews.com/2026/01/smartermail-auth-bypass-exploited-in.html

サイバーニュース.jp

SmarterMailの認証バイパス脆弱性、パッチ公開からわずか2日で悪用が確認

概要

脆弱性の詳細

活発な悪用とベンダーの対応

関連する脆弱性とCISAの警告

推奨事項

投稿をさらに読み込む

Deezer、AI生成音楽への対策を他プラットフォームに提供開始

CERT/CCがNode.jsのbinary-parserライブラリに深刻な脆弱性を警告：任意のコード実行の危険性

LastPass、マスターパスワードを狙う新たなフィッシング詐欺に警告

AI支援で構築されたLinuxマルウェアフレームワーク「VoidLink」が88,000行のコードに到達