Goby 漏洞安全通告|SmarterMail ConnectToHub /api/v1/settings/sysadmin/connect-to-hub 命令执行漏洞(CVE-2026-24423)
漏洞名称:SmarterMail ConnectToHub /api/v1/settings/sysadmin/connect-to-hub 命令
执行漏洞(CVE-2026-24423)
风险等级:
高危
漏洞描述:
SmarterMail 是一款由 SmarterTools 公司开发的企业级邮件服务器软件,适用于 Windows 平台。它提供完整的电子邮件、日历、联系人、任务管理和即时消息功能,支持标准协议如 SMTP、POP3、IMAP 以及 CalDAV 和 CardDAV,便于与各类邮件客户端(如 Outlook、Thunderbird、移动设备等)集成。
该漏洞源于 ConnectToHub API 接口未对访问者进行身份验证。攻击者可通过构造特定请求,诱导 SmarterMail 服务器指向恶意 HTTP 服务器,进而向 SmarterMail 返回恶意操作系统命令。攻击者可以远程执行任意命令,完全控制受影响的系统,导致数据泄露、服务中断等严重后果。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
FOFA自检语句:
app=“SmarterTools-SmarterMail”
受影响版本:
SmarterMail < Build 9511
临时修复方案:
官方已发布安全补丁,请及时更新至最新版本:
SmarterMail >= Build 9511
下载地址:
https://www.smartertools.com/smartermail/downloads
漏洞检测工具:
鉴于该漏洞影响范围较大,建议优先处置排查,Goby EXP效果如视频演示如下:
查看Goby更多漏洞:Goby历史漏洞合集