CVE-2026-24423 - SmarterTools SmarterMail 存在通过 ConnectToHub API 的未授权远程代码执行漏洞
2026年1月23日,下午5:16。
CVE-2026-24423 - SmarterTools SmarterMail < Build 9511 通过 ConnectToHub API 的未授权远程代码执行漏洞
概述
CVE-2026-24423 是影响 SmarterTools SmarterMail 软件的一个关键漏洞。
漏洞时间线
描述
SmarterTools SmarterMail 版本早于构建版本 9511 在 ConnectToHub API 方法中包含一个未经身份验证的远程代码执行漏洞。攻击者可以将 SmarterMail 指向恶意的 HTTP 服务器,该服务器提供恶意操作系统命令。该命令将由易受攻击的应用程序执行。
信息
发布日期:
2026年1月23日,下午5:16
最后修改日期:
2026年1月23日,下午5:16
可远程利用:
是!
来源:
disclosure@vulncheck.com
受影响的产品
以下产品受到 CVE-2026-24423 漏洞的影响。即使 cvefeed.io 知道受影响的产品的确切版本,相关信息也未在下表中表示。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Smartertools | smartermail |
总计受影响供应商: 1 | 产品: 1
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重性的标准化框架。我们为每个 CVE 收集并显示来自不同来源的 CVSS 评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | CRITICAL | 83251b91-4cc7-4094-a5c7-464a1b83ea10 | |||
| 9.3 | CVSS 4.0 | CRITICAL | disclosure@vulncheck.com |
解决方案
将 SmarterMail 更新到构建版本 9511 或更高版本以修复远程代码执行漏洞。
- 将 SmarterMail 更新到构建版本 9511 或更高版本。
- 验证 ConnectToHub API 方法的安全性。
- 监控可疑的服务器连接。
咨询、解决方案和工具的参考
在这里,您将找到与 CVE-2026-24423 相关的深入信息、实用解决方案和有价值工具的外部链接。
| URL | 资源 |
|---|---|
| https://code-white.com/public-vulnerability-list/#systemadminsettingscontrollerconnecttohub-missing-authentication-in-smartermail | |
| https://www.smartertools.com/smartermail/release-notes/current | |
| https://www.vulncheck.com/advisories/smartertools-smartermail-unauthenticated-rce-via-connecttohub-api |
CWE - 常见弱点枚举
虽然 CVE 识别特定的漏洞实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-24423 与以下 CWE 相关联:
CWE-306:关键功能缺少身份验证
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类 (CAPEC) 存储攻击模式,这些模式描述了对手利用 CVE-2026-24423 弱点所采用的常见属性和方法。
- CAPEC-12:选择消息标识符
- CAPEC-36:使用未发布的接口或功能
- CAPEC-62:跨站请求伪造
- CAPEC-166:强制系统重置值
- CAPEC-216:通信信道操纵
我们扫描 GitHub 存储库以检测新的概念验证漏洞利用。以下列表是在 GitHub 上发布的公共漏洞利用和概念验证的集合(按最近更新排序)。
由于潜在的性能问题,结果限制在前15个存储库。
以下列表是在文章中任何地方提到 CVE-2026-24423 漏洞的新闻。
由于潜在的性能问题,结果限制在前20篇新闻文章。
下表列出了随时间对 CVE-2026-24423 漏洞所做的更改。漏洞历史详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新 CVE 由 disclosure@vulncheck.com 接收
2026年1月23日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 已添加 | 描述 | SmarterTools SmarterMail versions prior to build 9511 contain an unauthenticated remote code execution vulnerability in the ConnectToHub API method. The attacker could point the SmarterMail to the malicious HTTP server, which serves the malicious OS command. This command will be executed by the vulnerable application. | |
| 已添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 已添加 | CWE | CWE-306 | |
| 已添加 | 参考 | https://code-white.com/public-vulnerability-list/#systemadminsettingscontrollerconnecttohub-missing-authentication-in-smartermail | |
| 已添加 | 参考 | https://www.smartertools.com/smartermail/release-notes/current | |
| 已添加 | 参考 | https://www.vulncheck.com/advisories/smartertools-smartermail-unauthenticated-rce-via-connecttohub-api |
EPSS 是对未来 30 天内观察到漏洞利用活动的概率的每日估计。下图显示了该漏洞的 EPSS 评分历史。
注入
漏洞评分详情
CVSS 4.0
基础 CVSS 评分: 9.3
| 攻击向量 | 攻击复杂性 | 攻击要求 | 所需权限 | 用户交互 | 保密性影响 (VS) | 完整性影响 (VS) | 可用性影响 (VS) | 次要范围保密性影响 (SS) | 次要范围完整性影响 (SS) | 次要范围可用性影响 (SS) |
|---|---|---|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 无 | 高 | 高 | 高 | 无 | 无 | 无 |
- 攻击向量: 网络、相邻、本地、物理
- 攻击复杂性: 低、高
- 攻击要求: 无、存在
- 所需权限: 无、低、高
- 用户交互: 无、被动、主动
- 保密性影响 (VS): 高、低、无
- 完整性影响 (VS): 高、低、无
- 可用性影响 (VS): 高、低、无
- 次要范围保密性影响 (SS): 高、低、无
- 次要范围完整性影响 (SS): 高、低、无
- 次要范围可用性影响 (SS): 高、低、无
© 2026 cvefeed.io
| 隐私政策 | 服务条款 | 退款政策 | ||
|---|---|---|---|---|
| LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRhla+hRKfYfj6w05phdWMwx | ||||
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | ||||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
有“AI”的1024 = 2048,欢迎大家加入2048 AI社区
更多推荐
25
0- 0
已为社区贡献197条内容
所有评论(0)