检测

SmarterMail < 100.0.9511 通过 ConnectToHub API 实现未经身份验证的 RCE(CVE-2026-24423)

critical Nessus 插件 ID 298241

语言:

简介

远程邮件服务器受到远程代码执行漏洞的影响。

描述

远程主机上安装的 SmarterTools SmarterMail 版本低于 100.0.9511。因此,该操作系统受到远程代码执行漏洞的影响。build 9511 之前的 SmarterTools SmarterMail 版本在 ConnectToHub API 方法中包含一个未经身份验证的远程代码执行漏洞。
攻击者可能会将 SmarterMail 指向发送恶意 OS 命令的恶意 HTTP 服务器。
有漏洞的应用程序将执行此命令。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 SmarterTools SmarterMail 100.0.9511 或更高版本。

另见

http://www.nessus.org/u?fe78a2a7

插件详情

严重性: Critical

ID: 298241

文件名: smartertools_smartermail_CVE-2026-24423.nasl

版本: 1.2

类型: remote

系列: CGI abuses

发布时间: 2026/2/6

最近更新时间: 2026/2/9

支持的传感器: Nessus

风险信息

VPR

风险因素: Critical

分数: 9.2

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-24423

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS v4

风险因素: Critical

Base Score: 9.3

Threat Score: 9.3

Threat Vector: CVSS:4.0/E:A

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

漏洞信息

CPE: cpe:/a:smartertools:smartermail

必需的 KB 项: installed_sw/SmarterTools SmarterMail

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/1/22

漏洞发布日期: 2026/1/22

参考资料信息

CVE: CVE-2026-24423