Một lỗ hổng bảo mật mới trong phần mềm email SmarterTools SmarterMail đang bị khai thác tích cực trong thực tế, chỉ hai ngày sau khi bản vá được phát hành.
Lỗ hổng này, hiện chưa có mã định danh CVE, được watchTowr Labs theo dõi dưới tên WT-2026-0001. SmarterTools đã vá lỗi này vào ngày 15 tháng 1 năm 2026, với Build 9511, sau khi nền tảng quản lý rủi ro này tiết lộ thông tin một cách có trách nhiệm vào ngày 8 tháng 1 năm 2026.
Nó được mô tả là một lỗ hổng authentication bypass có thể cho phép bất kỳ người dùng nào đặt lại mật khẩu quản trị viên hệ thống SmarterMail bằng cách gửi một HTTP request được tạo đặc biệt đến endpoint "/api/v1/auth/force-reset-password".
"Điều đáng nói là người dùng đó có thể sử dụng các chức năng RCE-as-a-feature để trực tiếp thực thi các lệnh OS [operating system]," các nhà nghiên cứu Piotr Bazydlo và Sina Kheirkhah của watchTowr Labs cho biết.
Vấn đề nằm ở hàm "SmarterMail.Web.Api.AuthenticationController.ForceResetPassword", không chỉ cho phép truy cập endpoint mà không cần authentication, mà còn tận dụng việc request đặt lại mật khẩu đi kèm với một cờ boolean có tên "IsSysAdmin" để xử lý request đến tùy thuộc vào việc người dùng có phải là quản trị viên hệ thống hay không.
Trong trường hợp cờ được đặt thành "true" (tức là chỉ ra rằng người dùng là quản trị viên), logic cơ bản thực hiện chuỗi hành động sau đây:
- Thu thập cấu hình tương ứng với username được truyền làm input trong HTTP request
- Tạo một mục quản trị viên hệ thống mới với mật khẩu mới
- Cập nhật tài khoản quản trị viên với mật khẩu mới
Nói cách khác, đường dẫn đặc quyền được cấu hình để có thể dễ dàng cập nhật mật khẩu của người dùng quản trị viên bằng cách gửi một HTTP request với username của một tài khoản quản trị viên và mật khẩu tùy chọn. Việc thiếu kiểm soát bảo mật hoàn toàn này có thể bị kẻ tấn công lạm dụng để có được quyền truy cập nâng cao, miễn là chúng có kiến thức về một username quản trị viên hiện có.
Không chỉ dừng lại ở đó, lỗ hổng authentication bypass còn cung cấp một đường dẫn trực tiếp đến remote code execution thông qua một chức năng tích hợp cho phép quản trị viên hệ thống thực thi các lệnh operating system trên hệ điều hành cơ bản và có được một shell cấp độ SYSTEM.
Điều này có thể được thực hiện bằng cách điều hướng đến trang Settings, tạo một volume mới, và cung cấp một lệnh tùy ý trong trường Volume Mount Command, lệnh này sau đó sẽ được thực thi bởi operating system của máy chủ.
Công ty an ninh mạng cho biết họ đã chọn công bố phát hiện này sau một bài đăng trên Cổng Cộng đồng SmarterTools, nơi một người dùng tuyên bố rằng họ đã mất quyền truy cập vào tài khoản admin của mình, với các bản ghi cho thấy việc sử dụng cùng một endpoint "force-reset-password" để thay đổi mật khẩu vào ngày 17 tháng 1 năm 2026, hai ngày sau khi bản vá được phát hành.
Điều này có khả năng cho thấy rằng những kẻ tấn công đã cố gắng reverse engineer các bản vá và tái tạo lại lỗ hổng. Tệ hơn nữa, việc các ghi chú phát hành của SmarterMail mơ hồ và không đề cập rõ ràng đến các vấn đề đã được giải quyết cũng không giúp ích gì. Một mục trong danh sách gạch đầu dòng cho Build 9511 chỉ đơn giản đề cập "IMPORTANT: Critical security fixes."
Để phản hồi, CEO SmarterTools Tim Uzzanti ám chỉ rằng việc này được thực hiện để tránh cung cấp thêm thông tin cho các threat actor, nhưng lưu ý rằng họ có kế hoạch gửi email mỗi khi một CVE mới được phát hiện và một lần nữa khi một bản build đã được phát hành để giải quyết vấn đề.
"Trong hơn 23 năm hoạt động của chúng tôi, chúng tôi chỉ có một vài CVE, chủ yếu được thông báo qua các ghi chú phát hành và tham chiếu sửa lỗi nghiêm trọng," Uzzanti nói để đáp lại những lo ngại về tính minh bạch do khách hàng đưa ra. "Chúng tôi đánh giá cao phản hồi đã khuyến khích thay đổi chính sách này trong tương lai."
Hiện tại vẫn chưa rõ liệu một email như vậy có được gửi đến các quản trị viên SmarterMail trong thời điểm này hay không. The Hacker News đã liên hệ với SmarterTools để xin bình luận và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
Diễn biến này diễn ra chưa đầy một tháng sau khi Cơ quan An ninh Mạng Singapore (CSA) tiết lộ chi tiết về một lỗ hổng bảo mật nghiêm trọng tối đa trong SmarterMail (CVE-2025-52691, điểm CVSS: 10.0) có thể bị khai thác để đạt được remote code execution.
