Résumé
Le 26 janvier 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité critique dans SmarterMail, un logiciel de messagerie serveur développé par SmarterTools. Référencée sous CVE-2026-24423, cette vulnérabilité permet à un attaquant non authentifié d’exploiter l’API ConnectToHub pour forcer le serveur à se connecter à un serveur malveillant et exécuter des commandes système arbitraires, permettant une prise de contrôle complète du système.
Solutions
Mettez à jour SmarterMail vers la version 9511 ou ultérieure dès que possible. Si une mise à jour n’est pas disponible pour votre version, désactivez l’accès à l’API ConnectToHub ou isolez votre serveur SmarterMail du réseau tant que le correctif n’est pas appliqué.
Vérifiez également dans vos logs serveur s’il y a des traces d’exploitation de cette vulnérabilité, notamment des connexions suspectes à l’endpoint ConnectToHub.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.8 (critique)
Systèmes affectés
• SmarterTools SmarterMail versions antérieures à la version 9511
Documentation
Références officielles :
• NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-24423
• VulnCheck (ConnectToHub RCE): https://www.vulncheck.com/advisories/smartertools-smartermail-unauthenticated-rce-via-connecttohub-api
• CWE-306: https://cwe.mitre.org/data/definitions/306.html