-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in SmarterTools SmarterMail Advisory ID : NCSC-2026-0040 Versie : 1.00 Kans : high CVE ID : CVE-2026-23760, CVE-2026-24423 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Authentication Bypass Using an Alternate Path or Channel Missing Authentication for Critical Function Uitgiftedatum : 20260127 Toepassing : SmarterTools SmarterMail Versie(s) : Platform(s) : Beschrijving SmarterTools heeft kwetsbaarheden verholpen in SmarterMail. Een kwaadwillende kan de kwetsbaarheden misbruiken om authenticatie te omzeilen en willekeurige code uit te voeren met rechten van de beheerder, en mogelijk SYSTEM. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de API-interface (met name de `/api/v1/auth/force-reset-password` endpoint) en kan op die manier zonder voorafgaande authenticatie het wachtwoord van een beheerder resetten door middel van een speciaal geprepareerd HTTP-verzoek. Ook kan een kwaadwillende een malafide HTTP-server inrichten, om daarmee een slachtoffer te misleiden deze te bezoeken en zo willekeurige code uit te voeren op de kwetsbare server. Voor de kwetsbaarheid met kenmerk CVE-2026-23760 is Proof-of-Concept- code gepubliceerd en het Amerikaanse CISA heeft de kwetsbaarheid op de Known Exploited Vulnerabilities-lijst geplaatst, wat aangeeft dat de kwetsbaarheid actief is misbruikt. Mogelijke oplossingen SmarterTools heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Het NCSC adviseert onderzoek te doen naar de SmarterMail-omgeving en met name te controleren of van beheerdersaccounts recentelijk het wachtwoord is gewijzigd. Referenties: Reference https://www.smartertools.com/smartermail/release-notes/current Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAml4mMMACgkQgupWoL0Z hGFeOgv/fmCCKVryMeFeSZppd4j+m3+BptPBhK0T2nQypLONJ2hlq8apL5EGUrXQ fgVY8oghbrtR025L4Ag+wUiC8MPk3zV7hUdnanEjMzTBocU/dX5M7bZNYsBRe1oc ndFzDn7MsR9N+GDRb3DhaqWJ0isuS63KJkhunuZVzSgx/264G5LKirI5NhNnWn0C RKN8Sib8Hg9ee7TRypBkjCymxzEXEi5UXGyh3RUA/AyCJXXchgY8CAVib7jxu3Wa UHPEoFnLF9VsViocARp0kxPUzkNGg3vsbHQedCCvlPZrKrT/DJpFbXEdFT9hV0Uq 7zvBtx92jP7n21GNe6CxCZLp3yNymD9+pZdmBP7XVdH/37p1ujsujuJZ8CEafjAM bGf6RcDyY/wTRzvuICZ59QCwM4+WMwhx3U9Puim12KHDs3p+sSx5FAuMElasAlSQ O1xLUKCx2x9O8iJ3Xk9CXgbpjptfY4s0h98Au5BP7BKsMGWyfcAwzDseSAavH0At pPjwvq15 =ApQJ -----END PGP SIGNATURE-----