Une nouvelle faille de sécurité dans le logiciel de messagerie SmarterTools, SmarterMail, a été activement exploitée, deux jours après la publication d'un correctif.
WatchTowr Labs suit la vulnérabilité, qui n'a actuellement pas d'identifiant CVE, sous le nom WT-2026-0001. SmarterTools l'a corrigé le 15 janvier 2026 avec la build 9511, suite à une divulgation responsable par la plateforme de gestion de l'exposition le 8 janvier 2026.
Il a été décrit comme une faille de contournement d'authentification qui pourrait permettre à n'importe quel utilisateur de réinitialiser le mot de passe de l'administrateur système SmarterMail via une requête HTTP spécialement conçue au point de terminaison “/api/v1/auth/force-reset-password”.
“Ce qui est bien, bien sûr, c'est que cet utilisateur peut utiliser les fonctions RCE comme fonctionnalité pour exécuter directement le système d'exploitation. [operating system] commandes”, ont déclaré Piotr Bazydlo et Sina Kheirkhah, chercheurs de WatchTowr Labs.
Le problème provient de la fonction “SmarterMail.Web.Api.AuthenticationController.ForceResetPassword”, qui permet non seulement d'atteindre le point final sans authentification, mais profite également du fait que la demande de réinitialisation est accompagnée d'un indicateur booléen appelé “IsSysAdmin” pour gérer la demande entrante selon que l'utilisateur est administrateur système ou non.
Si l'indicateur est défini sur « true » (c'est-à-dire qu'il indique que l'utilisateur est un administrateur), la logique sous-jacente exécute la séquence d'actions suivante :
- Récupérer la configuration correspondant au nom d'utilisateur passé en entrée dans la requête HTTP
- Créez un nouvel élément d'administrateur système avec le nouveau mot de passe
- Mettez à jour le compte administrateur avec le nouveau mot de passe
En d'autres termes, la route privilégiée est configurée pour que vous puissiez mettre à jour de manière triviale le mot de passe d'un utilisateur administrateur en envoyant une requête HTTP avec le nom d'utilisateur d'un compte administrateur et un mot de passe de votre choix. Un attaquant pourrait abuser de cette absence totale de contrôle de sécurité pour obtenir un accès élevé, à condition qu'il connaisse un nom d'utilisateur administrateur existant.
Cela ne s'arrête pas là, car le contournement de l'authentification fournit un chemin direct vers l'exécution de code à distance via une fonctionnalité intégrée qui permet à l'administrateur système d'exécuter des commandes du système d'exploitation sur le système d'exploitation sous-jacent et d'obtenir un shell de niveau SYSTÈME.
Cela peut être accompli en accédant à la page de configuration, en créant un nouveau volume et en fournissant une commande arbitraire dans le champ Commande de montage du volume qui est ensuite exécutée par le système d'exploitation hôte.
La société de cybersécurité a déclaré qu'elle avait décidé de rendre publique cette découverte à la suite d'une publication sur le portail communautaire SmarterTools, dans laquelle un utilisateur affirmait avoir perdu l'accès à son compte administrateur et des journaux indiquaient avoir utilisé le même point de terminaison de « réinitialisation forcée du mot de passe » pour changer le mot de passe le 17 janvier 2026, deux jours après la publication du correctif.
Cela indique probablement que les attaquants ont réussi à procéder à une ingénierie inverse des correctifs et à reconstruire la faille. Pour aggraver les choses, le fait que les notes de version de SmarterMail soient vagues et ne mentionnent pas explicitement les problèmes résolus n'aide pas. Un élément de la liste à puces de la build 9511 mentionne simplement « IMPORTANT : correctifs de sécurité critiques ».
En réponse, le PDG de SmarterTools, Tim Uzzanti, a laissé entendre que cela était fait pour éviter de donner plus de munitions aux acteurs de la menace, mais a noté qu'ils prévoyaient d'envoyer un e-mail chaque fois qu'un nouveau CVE est découvert et à nouveau lorsqu'une version est publiée pour résoudre le problème.
“Au cours de nos 23 années d'existence, nous n'avons eu que quelques CVE, qui étaient principalement communiqués via des notes de version et des références de correctifs critiques”, a déclaré Uzzanti en réponse aux problèmes de transparence soulevés par ses clients. “Nous apprécions les commentaires qui ont encouragé ce changement de politique à l'avenir.”
On ne sait actuellement pas si un tel e-mail a été envoyé cette fois-ci aux administrateurs de SmarterMail. Hacker News a contacté SmarterTools pour commentaires et nous mettrons à jour l'histoire si nous recevons une réponse.
Le développement intervient moins d'un mois après que la Singapore Cyber Security Agency (CSA) a révélé les détails d'une faille de sécurité de gravité maximale dans SmarterMail (CVE-2025-52691, score CVSS : 10,0) qui pourrait être exploitée pour réaliser l'exécution de code à distance.
