Cve-2026-24423

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.