lctzgy.com

电脑版下载

35063
9

lctzgy.com截图Q8X2R7L1T4J5M9B6W3

内容详情

lctzgy.com

SmarterTools已修复SmarterMail邮件软件中的两个新清静误差，其中包括一个可能导致恣意代码执行的要害清静缺陷。

该误差编号为CVE-2026-24423，CVSS评分高达9.3分（满分10分）。

凭证CVE.org对该误差的形貌："SmarterTools SmarterMail 9511版本之前的版本在ConnectToHub API要领中保存未经身份验证的远程代码执行误差。攻击者可以将SmarterMail指向恶意HTTP效劳器，该效劳器会提供恶意操作系统下令。这些下令将被易受攻击的应用程序执行。"

watchTowr研究员Sina Kheirkhah和Piotr Bazydlo、CODE WHITE GmbH的Markus Wulftange以及VulnCheck的Cale Black发明并报告了这个误差。

该清静误差已在2026年1月15日宣布的Build 9511版本中获得修复。统一版本还修补了另一个要害缺陷（CVE-2026-23760，CVSS评分：9.3），该误差已在野外遭到自动使用。

别的，SmarterTools还修复了一其中等严重水平的清静误差（CVE-2026-25067，CVSS评分：6.9），该误差可能允许攻击者增进NTLM中继攻击和未授权的网络身份验证。

该误差被形貌为影响逐日配景预览端点的未经身份验证的路径强制案例。

VulnCheck在警报中指出："应用程序对攻击者提供的输入举行base64解码，并在没有验证的情形下将其用作文件系统路径。在Windows系统上，这允许剖析UNC（通用命名约定）路径，导致SmarterMail效劳向攻击者控制的主机提倡出站SMB身份验证实验。这可能被滥用于凭证强制、NTLM中继攻击和未授权的网络身份验证。"

该误差已在2026年1月22日宣布的Build 9518中获得修复。鉴于SmarterMail中的两个误差在已往一周内遭到自动使用，用户务必尽快更新到最新版本。

Q&A

Q1：CVE-2026-24423误差有多严重？

A：CVE-2026-24423是一个要害级别的清静误差，CVSS评分高达9.3分（满分10分）。这个误差保存于SmarterMail邮件软件的ConnectToHub API要领中，允许未经身份验证的远程代码执行，攻击者可以通过恶意HTTP效劳器执行恣意操作系统下令。

Q2：SmarterMail用户应该怎样应对这些清静误差？

A：用户应该连忙更新到最新版本。CVE-2026-24423和CVE-2026-23760已在Build 9511中修复，CVE-2026-25067已在Build 9518中修复。由于其中两个误差已在野外遭到自动使用，实时更新至关主要。

Q3：CVE-2026-25067误差会造成什么威胁？

A：CVE-2026-25067是中等严重水平误差，CVSS评分6.9分。它影响逐日配景预览端点，允许攻击者举行路径强制攻击。在Windows系统上，攻击者可以使用UNC路径剖析功效举行凭证强制、NTLM中继攻击和未授权的网络身份验证。