Résumé
Le 26 janvier 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans SmarterMail, un logiciel de messagerie serveur développé par SmarterTools.
Référencée sous CVE-2026-23760, cette vulnérabilité permet à un attaquant non authentifié de contourner l’authentification via l’API de réinitialisation de mot de passe : l’endpoint force-reset-password accepte des requêtes anonymes sans vérifier l’ancien mot de passe ou un jeton de reset, lui permettant de changer le mot de passe d’un administrateur système et de prendre le contrôle total du serveur.
Solutions
Appliquez les correctifs selon les instructions du fournisseur.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 9.3
EPSS : 3.36 %
Risques : Contournement d’authentification (auth bypass)
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- SmarterTools SmarterMail versions antérieures à 100.0.9511
Documentation
- Bulletin de sécurité de SmarterMail :
https://www.smartertools.com/smartermail/release-notes/current
- Détails NIST CVE :
https://nvd.nist.gov/vuln/detail/CVE-2026-23760
- CVE Details :
https://www.cvedetails.com/cve/CVE-2026-23760/
- CWE :