SmarterTools ha solucionado otras dos fallas de seguridad en el software de correo electrónico SmarterMail, incluida una falla de seguridad crítica que podría provocar la ejecución de código arbitrario.

La vulnerabilidad, rastreada como CVE-2026-24423 , tiene una puntuación CVSS de 9,3 sobre 10,0.

«Las versiones de SmarterTools SmarterMail anteriores a la versión 9511 contienen una vulnerabilidad de ejecución remota de código no autenticada en el método de la API ConnectToHub», según un descripción de la falla en CVE.org.

«El atacante podría dirigir el SmarterMail al servidor HTTP malicioso, que ejecuta el comando malicioso del sistema operativo [sistema operativo]. La aplicación vulnerable ejecutará este comando».

Los investigadores de WatchTower Sina Kheirkhah y Piotr Bazydlo, Markus Wulftange de CODE WHITE GmbH , y Capa negra de VulnCheck se les ha atribuido el mérito de descubrir y denunciar la vulnerabilidad.

El problema de seguridad se solucionó en la versión Build 9511, publicada el 15 de enero de 2026. La misma versión también corrige otro defecto crítico ( CVE-2026-23760 , puntuación CVSS: 9,3) que desde entonces ha sido objeto de explotación activa en estado salvaje.

Además, SmarterTools ha publicado correcciones para solucionar una vulnerabilidad de seguridad de gravedad media (CVE-2026-25067, puntuación CVSS: 6,9) que podría permitir a un atacante facilitar los ataques de retransmisión NTLM y la autenticación de red no autorizada.

Se ha descrito como un caso de coerción de ruta no autenticada que afecta al punto final de la vista previa en segundo plano.

«La aplicación en base64 decodifica la entrada proporcionada por el atacante y la usa como una ruta del sistema de archivos sin validación», vulnCheck apuntado en una alerta.

«En los sistemas Windows, esto permite resolver las rutas UNC [Convención de nomenclatura universal], lo que hace que el servicio SmarterMail inicie intentos de autenticación SMB salientes a los hosts controlados por el atacante. Se puede abusar de esto para obtener credenciales, realizar ataques de retransmisión NTLM y autenticar redes no autorizadas».

La vulnerabilidad ha sido remendado en la compilación 9518, lanzada el 22 de enero de 2026. La semana pasada se han explotado activamente dos vulnerabilidades en SmarterMail, por lo que es fundamental que los usuarios se actualicen a la última versión lo antes posible.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.