文章总结： CVE-2026-23760是SmarterMail密码重置API的认证绕过漏洞，攻击者无需验证旧密码即可重置特权账户并借此创建系统事件钩子，在添加域名时触发执行侦察命令，已在野大规模自动化利用；官方已于2026-01-15发布Build9511修复，企业需立即升级并排查入侵痕迹。 综合评分： 92 文章分类： 漏洞预警,WEB安全,邮件安全,应急响应,实战经验

【CVE-2026-23760】SmarterMail 特权账户接管

原创

骨哥说事 骨哥说事

骨哥说事

2026年1月26日 10:42 上海

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

#

#

防走失：https://gugesay.com/archives/5218

不想错过任何消息？设置星标↓ ↓ ↓

#

摘要

SmarterMail 是一款由 SmarterTools 提供的邮件和协作服务器，在企业内部通信中广泛使用。近日发现的 CVE-2026-23760 是一个认证绕过漏洞，存在于 SmarterMail 的密码重置 API 接口 中，强烈建议 SmarterMail 用户立即升级至 2026年1月15日发布的最新版本 Build 9511。

需要注意的是，这与目前正在大规模利用的 CVE-2025-52691 是分开的独立事件。CVE-2025-52691 是 SmarterMail 中一个同样会导致远程代码执行的任意文件上传漏洞。

威胁深入分析

一旦漏洞被利用，威胁行为者就会利用被劫持的特权账户访问 SmarterMail 的“系统事件”功能，并在其中创建恶意的系统事件，以在受感染的主机上执行侦察命令。

对被攻击主机的相关应用日志审查显示，攻击者为达成其目标，向 SmarterMail 应用程序发起了一系列 HTTP POST 请求。

表 1（如下）展示了按观测顺序排列的请求，并附有相应说明，详细介绍了它们在攻击中的用途。

| | | | — | — | | 请求 | 目的 | | POST /api/v1/auth/force-reset-password | 利用账户接管漏洞获取特权用户账户的访问权限。 | | POST /api/v1/auth/authenticate-user | 使用特权用户的凭据获取有效的访问令牌。 | | POST /api/v1/settings/sysadmin/event-hook | 配置恶意系统事件。 推测该系统事件被配置为，当有新的域名添加到 SmarterMail 应用时，执行威胁行为者的侦察命令。 | | POST /api/v1/settings/sysadmin/domain-put | 向 SmarterMail 添加新域名，从而触发上一步创建的系统事件。 | | POST /api/v1/settings/sysadmin/domain-delete/google.abc[.]com/true | 作为痕迹清除活动的一部分，进行清理操作。（删除了新添加的域名） | | POST /api/v1/settings/sysadmin/event-hook-delete | 作为痕迹清除活动的一部分，进行清理操作。（删除了创建的恶意系统事件钩子） |

*表 1：观测到的 HTTP 请求摘要

这些请求在多个客户环境中快速连续发出，表明这是大规模自动化扫描和利用。

漏洞分析

通过对比 1 月 8 日发布的版本 9504 和 1 月 15 日发布的版本 9511，可以清楚地看到导致漏洞的根本原因：在旧版本中，向 /api/v1/auth/force-reset-password 端点提交请求时，程序未验证所提交的旧密码是否有效。

图 1：SmarterMail 二进制版本 9504 与 9511 的对比

结论

鉴于该漏洞的严重性、当前活跃的在野利用情况以及已观测到的 CVE-2025-52691 漏洞利用，企业应优先部署 SmarterMail 更新，并审查所有旧版本系统是否已出现被感染的迹象。

入侵指标

| | | | — | — | | 项目 | 详情 | | 142.111.152[.]57 142.111.152[.]229 155.2.215[.]66 142.111.152[.]54 142.111.152[.]53 142.111.152[.]222 142.111.152[.]159 142.111.152[.]165 155.2.215[.]70 142.111.152[.]49 155.2.215[.]74 142.111.152[.]160 155.2.215[.]73 142.111.152[.]51 155.2.215[.]60 142.111.152[.]151 142.111.152[.]46 155.2.215[.]68 142.111.152[.]155 142.111.152[.]45 155.2.215[.]72 155.2.215[.]67 142.111.152[.]47 142.111.152[.]59 142.111.152[.]56 142.111.152[.]154 142.111.152[.]150 155.2.215[.]62 | 观测到发起攻击的源 IP 地址。 | | python-requests/2.32.4 | 观测到执行攻击时使用的用户代理。注意：这是 Python requests 模块 2.32.4 版本的默认用户代理。 | | C:\Program Files (x86)\SmarterTools\SmarterMail\Service\wwwroot\result.txt | 包含侦察命令输出结果的文件。 | | /api/v1/auth/force-reset-password /api/v1/auth/authenticate-user  /api/v1/settings/sysadmin/event-hook  /api/v1/settings/sysadmin/domain-put  /api/v1/settings/sysadmin/domain-delete/google.abc.com/true  /api/v1/settings/sysadmin/event-hook-delete | 在攻击中观测到向这些端点发起的 POST 请求。 |

原文：https://www.huntress.com/blog/smartermail-account-takeover-leading-to-rce

• END –

感谢阅读，如果觉得还不错的话，动动手指一键三连～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《【CVE-2026-23760】SmarterMail 特权账户接管》