أعلنت شركة SmarterTools عن معالجة ثغرات أمنية جديدة في برنامج البريد الإلكتروني SmarterMail، من بينها ثغرة خطيرة تحمل المعرف CVE-2026-24423 بتصنيف خطورة 9.3/10 وفق معيار CVSS. هذه الثغرة تسمح بتنفيذ أوامر نظام التشغيل عن بُعد دون الحاجة إلى مصادقة، عبر استغلال طريقة ConnectToHub API.
وفقاً لوصف الثغرة في قاعدة بيانات CVE.org، يمكن للمهاجم توجيه التطبيق نحو خادم HTTP خبيث يرسل أوامر نظام يتم تنفيذها مباشرة بواسطة التطبيق الضعيف. وقد تم اكتشاف هذه الثغرة من قبل باحثين من watchTowr وCODE WHITE GmbH وVulnCheck، الذين ساهموا في الإبلاغ عنها بشكل مسؤول.
تحديثات عاجلة وإصلاحات متعددة
تم إصلاح الثغرة في الإصدار Build 9511 الصادر في 15 يناير 2026، والذي عالج أيضاً ثغرة أخرى حرجة (CVE-2026-23760) بنفس درجة الخطورة، وقد تم استغلالها بالفعل في هجمات نشطة.
إلى جانب ذلك، أصدرت الشركة تحديثاً إضافياً في Build 9518 بتاريخ 22 يناير 2026 لمعالجة ثغرة متوسطة الخطورة (CVE-2026-25067) بتصنيف 6.9/10، والتي كانت تسمح بتنفيذ هجمات NTLM Relay والاستفادة من مصادقات الشبكة غير المصرح بها.
تفاصيل الثغرة المتوسطة وخطرها
الثغرة المتوسطة وُصفت بأنها حالة من Path Coercion غير الموثق تؤثر على واجهة “معاينة خلفية اليوم”. يقوم التطبيق بفك ترميز مدخلات المهاجم باستخدام Base64 ثم يعتمدها كمسار في نظام الملفات دون تحقق، مما يسمح على أنظمة ويندوز بحل مسارات UNC وإجبار خدمة SmarterMail على بدء محاولات مصادقة SMB نحو خوادم يتحكم بها المهاجم. هذا السيناريو يمكن استغلاله لسرقة بيانات الاعتماد أو تنفيذ هجمات Relay.
دعوة عاجلة للتحديث
مع وجود ثغرتين خطيرتين تم استغلالهما بالفعل خلال الأسبوع الماضي، شددت الشركة على ضرورة قيام المستخدمين بتحديث أنظمتهم إلى أحدث إصدار فوراً لتفادي المخاطر. فنجاح الاستغلال لا يقتصر على تنفيذ أوامر عشوائية، بل قد يفتح الباب أمام حركة جانبية داخل الشبكة والوصول إلى بيانات حساسة مرتبطة بالبريد الإلكتروني والهوية الرقمية للمستخدمين.
