A SmarterTools lançou, em janeiro de 2026, duas atualizações importantes para o SmarterMail com o objetivo de corrigir múltiplas vulnerabilidades de segurança. Entre elas, destaca-se uma falha crítica que poderia permitir a execução remota de código em sistemas vulneráveis. Por isso, a empresa recomendou a atualização imediata para todas as instalações afetadas.
As correções chegaram em duas etapas. A primeira atualização foi liberada em 15 de janeiro de 2026, enquanto a segunda entrou em disponibilidade em 22 de janeiro de 2026. Juntas, essas versões trataram falhas graves e ajustes complementares no software.
- Leia também: Como converter PDF em Word no PC e online: entenda as melhores opções
- Leia também: Faz Pix pelo WhatsApp? 3 configurações obrigatórias para blindar seu celular de golpes
- Leia também: Pesquisadores encontram 175.000 servidores Ollama AI expostos publicamente em 130 países
Falha crítica permite execução remota de código
Entenda o risco envolvido
Uma das vulnerabilidades mais graves, identificada como CVE-2026-24423, permitia que um atacante remoto, sem autenticação, executasse comandos arbitrários no sistema. Isso ocorria por meio da funcionalidade ConnectToHub API.
Nesse cenário, o invasor poderia direcionar o SmarterMail para se comunicar com um servidor HTTP malicioso. Em seguida, esse servidor retornaria um comando de sistema cuidadosamente preparado. Como resultado, o SmarterMail executaria esse comando, permitindo o comprometimento completo do servidor.
Correção aplicada
A SmarterTools corrigiu essa falha na Build 9511, lançada em 15 de janeiro de 2026. Além disso, a empresa reforçou que versões anteriores permanecem vulneráveis. Portanto, os administradores precisam atualizar o software o quanto antes para reduzir riscos de exploração.
Segunda vulnerabilidade crítica já estava sendo explorada
Além da falha de execução remota de código, a SmarterTools corrigiu outra vulnerabilidade crítica registrada como CVE-2026-23760. Assim como a anterior, esse problema recebeu pontuação CVSS de 9.3, o que indica severidade elevada.
Mais preocupante ainda, pesquisadores confirmaram que atacantes já exploravam essa vulnerabilidade ativamente. Por esse motivo, especialistas alertam que ambientes não atualizados enfrentam risco imediato de comprometimento.
Embora a empresa tenha agido rapidamente, especialistas também destacaram a importância de comunicações detalhadas sobre cada correção aplicada.
Falha de severidade média envolvia autenticação NTLM
Além das vulnerabilidades críticas, a SmarterTools também corrigiu uma falha de severidade média, identificada como CVE-2026-25067. Essa vulnerabilidade poderia facilitar ataques relacionados à autenticação NTLM em ambientes Windows.
O problema surgiu porque o SmarterMail decodifica dados fornecidos externamente e os utilizava como caminhos de arquivos sem validação adequada. Como consequência, o sistema poderia iniciar conexões SMB para servidores controlados por atacantes. Isso abriria espaço para técnicas de coerção de autenticação e possível exposição de credenciais.
Nova build consolidou correções e melhorias
Em 22 de janeiro de 2026, a SmarterTools lançou a Build 9518. Essa versão consolidou todas as correções anteriores e adicionou melhorias adicionais ao funcionamento geral do SmarterMail.
Diante do histórico recente — com duas vulnerabilidades críticas em curto intervalo — especialistas reforçaram uma recomendação clara: todos os administradores devem atualizar imediatamente para a versão mais recente. Caso contrário, servidores de e-mail permanecem expostos a ataques conhecidos.
Pesquisadores responsáveis pelas descobertas
Pesquisadores de diferentes empresas de segurança identificaram e relataram as vulnerabilidades corrigidas. Entre eles estão:
- Sina Kheirkhah e Piotr Bazydlo, da watchTowr
- Markus Wulftange, da CODE WHITE GmbH
- Cale Black, da VulnCheck
A SmarterTools reconheceu oficialmente essas contribuições na documentação das falhas.
Em resumo, as atualizações de janeiro de 2026 corrigiram vulnerabilidades críticas e médias no SmarterMail, incluindo falhas que permitiam a execução remota de código e ataques de autenticação. Além disso, uma das falhas já estava sendo explorada ativamente, o que reforça a urgência das atualizações.
Manter o software atualizado, portanto, não é apenas uma boa prática, mas uma medida essencial para proteger servidores de e-mail contra ataques conhecidos.
Fonte: The Hacker News—:https://thehackernews.com/2026/01/smartermail-fixes-critical.html
