SmarterTools ha publicado parches urgentes para su servidor de correo SmarterMail tras confirmarse al menos dos vulnerabilidades críticas que afectan a versiones anteriores a las corregidas. Una de ellas permite la ejecución remota de código sin autenticación, una falla que en términos prácticos deja al servidor expuesto a instrucciones maliciosas enviadas desde internet; la otra facilita ataques relacionados con la autenticación NTLM aprovechando llamadas a recursos en red.
La primera falla, identificada como CVE-2026-24423 y con una puntuación CVSS de 9.3, afecta al método ConnectToHub del software. Según el registro público, un atacante puede inducir al servicio a conectarse a un servidor HTTP controlado por el atacante que entrega un comando del sistema operativo; si el servidor vulnerable lo ejecuta, el atacante consigue ejecutar código arbitrario en la máquina afectada. Puede consultarse la descripción oficial en CVE.org.
Investigadores de distintas organizaciones fueron quienes identificaron y reportaron la vulnerabilidad: los especialistas Sina Kheirkhah y Piotr Bazydlo de watchTowr, Markus Wulftange de CODE WHITE GmbH y Cale Black de VulnCheck. Sus hallazgos aparecen referenciados en las notas públicas de investigación y avisos de seguridad de terceros, como la lista de divulgaciones de CODE WHITE y el aviso técnico de VulnCheck.
SmarterTools lanzó la corrección para esta vulnerabilidad en la Build 9511, publicada el 15 de enero de 2026. Es importante subrayar que la explotación de una RCE sin autenticación es particularmente peligrosa en servidores de correo, porque ese software suele manejar datos sensibles y puede estar vinculado directamente a infraestructuras internas que, de ser comprometidas, permiten movimiento lateral dentro de la red.
Además, la compañía corrigió otra vulnerabilidad crítica monitorizada como CVE-2026-23760 (también con CVSS 9.3) que ya ha sido observada en ataques reales. Aparte de estas dos, se cerró un fallo de gravedad media, CVE-2026-25067 (CVSS 6.9), que no es un RCE pero sí permite coerción de credenciales mediante la resolución de rutas de red maliciosas desde un punto de vista no autenticado.
En el caso de CVE-2026-25067 el problema gira en torno a la vista previa de la “imagen del día” (background-of-the-day). La aplicación decodifica en base64 una entrada que proviene del exterior y la trata como una ruta de sistema sin validación adecuada. En entornos Windows esto posibilita que se resuelvan rutas UNC hacia equipos controlados por el atacante, lo que provoca intentos de autenticación SMB salientes. Ese comportamiento puede ser explotado para forzar intentos de autenticación NTLM, facilitando técnicas como el NTLM relay o la coerción de credenciales; VulnCheck documentó esta mecánica en su alerta técnica: VulnCheck - advisory.
Para ver las notas oficiales de SmarterTools y confirmar las versiones afectadas y corregidas, la empresa mantiene un registro de versiones y parches donde se detallan las builds liberadas: SmarterTools - Release Notes. Allí se especifica que la Build 9518, publicada el 22 de enero de 2026, incorpora correcciones adicionales relacionadas con la coerción de rutas y otros ajustes de seguridad.
¿Qué pueden y deben hacer los administradores ahora mismo? Lo esencial es aplicar las actualizaciones proporcionadas por SmarterTools de forma prioritaria: actualizar a las builds que contienen los parches reduce la ventana de exposición. Además, conviene aplicar medidas compensatorias mientras se despliegan los parches: restringir el tráfico saliente en puertos asociados a SMB (por ejemplo, bloquear egress hacia puertos 139/445), revisar reglas de firewall para minimizar conexiones HTTP salientes desde servidores de correo y auditar los registros en busca de conexiones inusuales o intentos repetidos de acceso a recursos remotos.
También resulta recomendable analizar la telemetría y los registros del servidor para detectar signos de comprometimiento previo: procesos que lancen comandos del sistema inesperadamente, conexiones salientes hacia servidores desconocidos, o patrones de autenticación SMB hacia máquinas fuera del control de la organización. Si existe sospecha de intrusión, conviene aislar las máquinas implicadas y seguir procedimientos de respuesta a incidentes para identificar alcance y mitigar movimientos laterales.
La aparición de dos vulnerabilidades críticas en un corto periodo y la confirmación de explotación activa para al menos una de ellas recuerdan que el software de correo sigue siendo un vector atractivo para atacantes. Actualizar, monitorizar y limitar las rutas de comunicación innecesarias son medidas sencillas pero efectivas para reducir riesgos hasta que todas las instalaciones estén corregidas.
Si quieres consultar la documentación técnica y los avisos originales, aquí tienes los enlaces citados: el registro de la CVE principal en CVE.org, el aviso de investigación en VulnCheck, la lista de divulgaciones de CODE WHITE en CODE WHITE, y las notas de versiones oficiales de SmarterTools en SmarterTools.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...