SmarterTools SmarterMail builds prior to 9610 contain a cryptographic weakness in the file and email sharing endpoints that use DES-CBC encryption with keys and initialization vectors derived from System.Random seeded with insufficient entropy, reducing the seed space to approximately 19,000 possible values. An unauthenticated attacker can use the attachment download endpoint as an oracle to determine the seed in use and derive encryption keys and initialization vectors to forge sharing tokens for arbitrary emails, attachments, or file storage contents without prior access to the targeted content.
SmarterMail versions before 9610 use weak DES-CBC encryption with insufficiently seeded random values in file and email sharing endpoints, allowing attackers to brute-force encryption keys. An unauthenticated attacker can forge sharing tokens to access arbitrary emails and attachments without authorization.
يحتوي SmarterMail على ضعف تشفيري في نقاط نهاية مشاركة الملفات والبريد الإلكتروني حيث يتم استخدام DES-CBC مع مفاتيح وناقلات تهيئة مشتقة من System.Random بإنتروبيا غير كافية. يمكن لمهاجم غير مصرح استخدام نقطة نهاية تنزيل المرفقات كآلية للتنبؤ بقيمة البذرة واشتقاق مفاتيح التشفير لتزوير رموز المشاركة.
إصدارات SmarterMail السابقة للإصدار 9610 تستخدم تشفير DES-CBC ضعيف مع قيم عشوائية غير كافية في نقاط نهاية المشاركة، مما يسمح للمهاجمين بفرض مفاتيح التشفير. يمكن لمهاجم غير مصرح الوصول إلى رسائل البريد الإلكتروني والمرفقات التعسفية دون تفويض.
Upgrade SmarterMail to version 9610 or later immediately. Disable file and email sharing features if upgrade is not immediately possible. Implement network-level access controls to restrict sharing endpoint access. Monitor for suspicious token generation patterns and unauthorized access attempts.
قم بترقية SmarterMail إلى الإصدار 9610 أو أحدث على الفور. قم بتعطيل ميزات مشاركة الملفات والبريد الإلكتروني إذا لم يكن الترقية ممكنة فوراً. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط النهاية. راقب أنماط توليد الرموز المريبة ومحاولات الوصول غير المصرح بها.