Trusted DesignCVE-2026-23760 の詳細
CVEの情報
説明:
SmarterTools SmarterMail versions prior to build 9511 contain an authentication bypass vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. An unauthenticated attacker can supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance. NOTE: SmarterMail system administrator privileges grant the ability to execute operating system commands via built-in management functionality, effectively providing administrative (SYSTEM or root) access on the underlying host.
CVE更新日: 2026-01-22 15:16:55.120000
CVSSバージョン: 4.0
CVSSスコア: 9.3
KEVの情報
KEV更新日: 2026-01-26
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.597940000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2026-23760はSmarterTools SmarterMailに存在する認証バイパス脆弱性です。攻撃者はパスワードリセットAPI(/api/v1/auth/force-reset-password)を悪用し、認証なしで管理者アカウントのパスワードを任意に変更できます。すでに攻撃で悪用されており、Shadowserverによると6,000台以上のSmarterMailサーバーが露出しているとセキュリティニュースサイトでは報告されています。 【1. 脆弱性の概要】 ■ 影響 - パスワードリセットAPIが匿名リクエストを許可してしまう。 - 旧パスワードやリセットトークンの検証が行われない。 - 管理者ユーザー名と新パスワードを送るだけで管理者アカウントを乗っ取れる。 - 乗っ取り後はメール窃取、横移動、バックドア設置、追加攻撃が可能。 ■ 深刻度 - CVSS 4.0: 9.3 Critical(重大) 【2. 対象となる環境】 ■ 影響バージョン - SmarterMail build 9511より前のすべてのバージョン ■ OS バージョン - SmarterMailはWindowsサーバー上で動作 - OS依存の詳細は不明 ■ 影響を受ける設定 - SmarterMailがインターネットに公開されている環境 - パスワードリセットAPIが外部からアクセス可能 【3. 影響を受けた時の兆候】 - Shadowserver:6,000台以上の脆弱サーバーを観測 - 実際に攻撃試行が多数観測されている - 攻撃者が管理者パスワードを変更しログイン後に追加攻撃を実施 【4. 推奨対策】 ■ 本対策 - SmarterMail build 9511以降へアップデート(2026/1/15 公開) - セキュリティ企業は即時アップデートを強く推奨 ■ 暫定回避策(緩和策) - SmarterMailをインターネットに直接公開しない - パスワードリセットAPIへのアクセス制限(IP 制限 / WAF) - 管理者アカウントの監査・ログ監視 - 不審なパスワード変更の検出ルールを導入