SmarterTools公司近日发布了SmarterMail电子邮件软件的安全更新，修复了多个安全漏洞，其中包括一个高危的远程代码执行漏洞。

编号为CVE-2026-24423的远程代码执行漏洞CVSS评分为9.3分，属于高危级别。该漏洞存在于build 9511之前的SmarterMail版本中，涉及ConnectToHub API方法。根据官方描述：“攻击者能够将SmarterMail引导至恶意HTTP服务器，该服务器会提供有害的操作系统指令。这些指令会被存在漏洞的应用程序执行。”研究人员Sina Kheirkhah、Piotr Bazydlo、Markus Wulftange和Cale Black因发现并报告此远程代码执行漏洞而获得致谢。

该远程代码执行漏洞已在2026年1月15日发布的Build 9511版本中完成修复。同一更新还修补了另一个高危漏洞CVE-2026-23760，其CVSS评分同样为9.3分，目前已在外部环境中被利用。

SmarterTools还修复了一个中等严重性的安全漏洞CVE-2026-25067，CVSS评分为6.9分。该漏洞可能被攻击者用于实施NTLM中继攻击和未经授权的网络身份验证。VulnCheck在报告中指出：“应用程序对攻击者提供的输入进行base64解码，并在未经验证的情况下将其用作文件系统路径。”在Windows系统环境中，这可能导致解析UNC路径，使SmarterMail服务向攻击者控制的主机发起出站SMB身份验证尝试。

这个中等严重性的漏洞已在2026年1月22日发布的Build 9518版本中得到修补。近期已有攻击者利用SmarterMail中的安全漏洞进行活动，用户应当及时更新软件至最新版本以防范安全风险。