أعلنت منصات أمنية عن رصد استغلال نشط لثغرة جديدة في برنامج البريد الإلكتروني SmarterMail التابع لشركة SmarterTools، وذلك بعد يومين فقط من إصدار التحديث الأمني المخصص لمعالجتها. الثغرة، التي تم تتبعها مبدئياً تحت الرمز WT-2026-0001 من قبل مختبرات watchTowr Labs، حصلت لاحقاً على معرف رسمي CVE-2026-23760، وتُعد من أخطر الثغرات التي واجهت النظام مؤخراً.
تفاصيل الثغرة وآلية الاستغلال
تسمح الثغرة بتجاوز آلية المصادقة، حيث يمكن للمهاجم إرسال طلب HTTP مخصص إلى واجهة “/api/v1/auth/force-reset-password” ليقوم بإعادة تعيين كلمة مرور حساب المدير (Administrator). الأخطر أن الطلب يتضمن متغيراً من نوع Boolean باسم IsSysAdmin، والذي إذا تم ضبطه على “true”، فإن النظام يعامل المستخدم كمدير نظام ويمنحه القدرة على تغيير كلمة المرور مباشرة.
هذا الخلل يفتح الباب أمام المهاجمين للحصول على صلاحيات مرتفعة بسهولة، خاصة إذا كانوا يعرفون اسم مستخدم إداري موجود مسبقاً. ولا يتوقف الأمر عند ذلك، إذ أن الثغرة تمنح مساراً مباشراً إلى تنفيذ أوامر نظام التشغيل (RCE) عبر وظائف مدمجة في SmarterMail، مثل إدخال أوامر في حقل Volume Mount Command داخل صفحة الإعدادات، ما يسمح بالحصول على وصول كامل بمستوى SYSTEM shell.
الاستغلال في الواقع العملي وردود الفعل
أشارت تقارير إلى أن أحد مستخدمي SmarterTools Community Portal فقد الوصول إلى حسابه الإداري يوم 17 يناير 2026، أي بعد يومين من إصدار التحديث الأمني (Build 9511)، حيث أظهرت السجلات استخدام نفس واجهة “force-reset-password”. هذا يؤكد أن المهاجمين تمكنوا من إعادة هندسة التحديثات واكتشاف الثغرة مجدداً.
وقد أثارت هذه الواقعة جدلاً حول سياسة الشركة في نشر تفاصيل الثغرات، إذ أن ملاحظات الإصدار كانت غامضة واكتفت بذكر “إصلاحات أمنية حرجة” دون تحديد طبيعة المشكلة. الرئيس التنفيذي للشركة تيم أوزانتي أوضح أن هذا النهج يهدف لتقليل المعلومات المتاحة للمهاجمين، لكنه وعد بتغيير السياسة عبر إرسال رسائل بريدية عند اكتشاف أي CVE جديد وعند إصدار تحديثات مرتبطة به.
ثغرات أخرى واستغلال واسع النطاق
تأتي هذه التطورات بعد أقل من شهر من إعلان وكالة الأمن السيبراني في سنغافورة (CSA) عن ثغرة بالغة الخطورة في SmarterMail (CVE-2025-52691) بتقييم CVSS 10.0، والتي تسمح بتنفيذ أوامر بصلاحيات الجذر. وقد أكدت شركة Huntress أن هذه الثغرة تخضع حالياً لاستغلال واسع النطاق، حيث يتم زرع web shells وأدوات تحميل برمجيات خبيثة في مجلدات بدء التشغيل لضمان الاستمرارية بعد إعادة تشغيل النظام.
كما أوضحت Huntress أن جميع عناوين الـ IP التي تحاول استغلال الثغرة الجديدة CVE-2026-23760 مرتبطة ببنى تحتية افتراضية داخل الولايات المتحدة، دون وجود أدلة على ارتباطها بجهة تهديد معينة.
أهمية التحديثات الأمنية العاجلة
في ظل هذه المعطيات، شددت الشركات الأمنية على ضرورة قيام المؤسسات بتحديث أنظمة SmarterMail فوراً إلى آخر إصدار، ومراجعة أي أنظمة قديمة بحثاً عن مؤشرات اختراق أو نشاط غير طبيعي. فالثغرات الأخيرة تكشف عن خطورة الاعتماد على أنظمة البريد الإلكتروني دون متابعة دقيقة للتحديثات الأمنية، خاصة مع سرعة المهاجمين في استغلال الثغرات فور الإعلان عنها.
