SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel Vulnerability — SmarterTools SmarterMail contains an authentication bypass using an alternate path or channel vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. This could allow an unauthenticated attacker to supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance.
SmarterTools SmarterMail contains a critical authentication bypass in the password reset API that allows unauthenticated attackers to reset administrator accounts without verification. An attacker can supply a target administrator username and new password to gain full administrative control of the SmarterMail instance.
تحتوي ثغرة CVE-2026-23760 على عيب في نقطة نهاية force-reset-password في SmarterMail حيث تقبل الطلبات المجهولة دون التحقق من كلمة المرور الحالية أو رمز إعادة التعيين. يمكن لأي مهاجم غير مصرح به استخدام هذه الثغرة للوصول إلى حسابات المسؤولين وتحقيق السيطرة الكاملة على نظام البريد الإلكتروني. هذا يشكل خطراً حرجاً على سرية وسلامة البيانات والخدمات.
SmarterTools SmarterMail يحتوي على ثغرة حرجة في绕过المصادقة في واجهة برمجة تطبيقات إعادة تعيين كلمة المرور تسمح للمهاجمين غير المصرح لهم بإعادة تعيين حسابات المسؤول دون التحقق. يمكن للمهاجم تقديم اسم مستخدم المسؤول المستهدف وكلمة مرور جديدة للحصول على السيطرة الإدارية الكاملة على مثيل SmarterMail.
Immediately update SmarterTools SmarterMail to the latest patched version. Implement network-level access controls to restrict access to the password reset API endpoint. Monitor authentication logs for suspicious password reset attempts. Enforce multi-factor authentication for administrator accounts. Conduct a security audit to verify no unauthorized administrative accounts were created.
قم بتحديث SmarterTools SmarterMail فوراً إلى أحدث إصدار مصحح. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية واجهة برمجة تطبيقات إعادة تعيين كلمة المرور. راقب سجلات المصادقة للكشف عن محاولات إعادة تعيين كلمة المرور المريبة. فرض المصادقة متعددة العوامل لحسابات المسؤول. أجرِ تدقيقاً أمنياً للتحقق من عدم إنشاء حسابات إدارية غير مصرح بها.