SmarterTools SmarterMail e-posta yazılımındaki yeni bir güvenlik açığı, yamanın yayınlanmasından iki gün sonra aktif olarak istismar edildi.
Şu anda CVE tanımlayıcısı olmayan güvenlik açığı watchTowr Labs tarafından WT-2026-0001 olarak takip ediliyor. Risk yönetimi platformunun 8 Ocak 2026’da yaptığı sorumlu açıklamanın ardından 15 Ocak 2026’da Build 9511 ile SmarterTools tarafından yama uygulandı.
Bu, herhangi bir kullanıcının SmarterMail sistem yöneticisi şifresini “/api/v1/auth/force-reset-password” uç noktasına özel olarak hazırlanmış bir HTTP isteği aracılığıyla sıfırlamasına izin verebilecek bir kimlik doğrulama atlama kusuru olarak tanımlanmıştır.
“Elbette işin ilginç yanı, söz konusu kullanıcının işletim sistemini doğrudan yürütmek için özellik olarak RCE işlevlerini kullanabilmesidir [operating system] komutlar” watchTowr Labs araştırmacıları Piotr Bazydlo ve Sina Kheirkhah dedi.
Sorunun kökü “SmarterMail.Web.Api.AuthenticationController.ForceResetPassword” işlevinden kaynaklanıyor; bu işlev yalnızca uç noktaya kimlik doğrulaması olmadan ulaşılmasına izin vermekle kalmıyor, aynı zamanda kullanıcının sistem yöneticisi olup olmamasına bağlı olarak gelen isteği işlemek için sıfırlama isteğine “IsSysAdmin” adlı bir boole bayrağının eşlik etmesi gerçeğinden de yararlanıyor.
Bayrağın “doğru” olarak ayarlanması durumunda (yani kullanıcının yönetici olduğunu belirtir), temel mantık aşağıdaki eylem sırasını gerçekleştirir –
- HTTP isteğinde girdi olarak iletilen kullanıcı adına karşılık gelen yapılandırmayı edinin
- Yeni parolayla yeni bir sistem yöneticisi öğesi oluşturun
- Yönetici hesabını yeni şifreyle güncelleyin
Başka bir deyişle, ayrıcalıklı yol, bir yönetici hesabının kullanıcı adı ve kendi tercih ettiği bir şifre ile bir HTTP isteği göndererek bir yönetici kullanıcının şifresini önemsiz bir şekilde güncelleyebilecek şekilde yapılandırılmıştır. Bu tam güvenlik kontrolü eksikliği, mevcut bir yönetici kullanıcı adı hakkında bilgi sahibi olması koşuluyla, bir saldırgan tarafından yükseltilmiş erişim elde etmek için kötüye kullanılabilir.
Kimlik doğrulama bypass’ı, sistem yöneticisinin temeldeki işletim sistemi üzerinde işletim sistemi komutlarını yürütmesine ve SİSTEM düzeyinde bir kabuk elde etmesine olanak tanıyan yerleşik bir işlevsellik aracılığıyla uzaktan kod yürütmeye doğrudan bir yol sağladığından, iş burada bitmiyor.
Bu, Ayarlar sayfasına giderek, yeni bir birim oluşturarak ve Birim Ekleme Komutu alanında daha sonra ana bilgisayarın işletim sistemi tarafından yürütülecek isteğe bağlı bir komut sağlayarak gerçekleştirilebilir.
Siber güvenlik şirketi, SmarterTools Topluluk Portalı’nda bir kullanıcının yönetici hesabına erişimini kaybettiğini iddia ettiği ve yamanın yayınlanmasından iki gün sonra, 17 Ocak 2026’da şifreyi değiştirmek için aynı “şifreyi zorla sıfırlama” uç noktasının kullanıldığını gösteren günlüklerle birlikte, bulguyu kamuya açıklamayı seçtiğini söyledi.
Bu muhtemelen saldırganların yamalarda tersine mühendislik yapmayı ve kusuru yeniden oluşturmayı başardığını gösteriyor. Daha da kötüsü, SmarterMail’in sürüm notlarının belirsiz olması ve hangi sorunların ele alındığını açıkça belirtmemesi de yardımcı olmuyor. Yapı 9511’in madde işaretli listesindeki bir öğede yalnızca “ÖNEMLİ: Kritik güvenlik düzeltmeleri” belirtiliyor.
Buna yanıt olarak SmarterTools CEO’su Tim Uzzanti, bunun tehdit aktörlerine daha fazla cephane vermekten kaçınmak için yapıldığını ima etti, ancak her yeni bir CVE keşfedildiğinde ve sorunu çözmek için bir yapı yayınlandığında tekrar bir e-posta göndermeyi planladıklarını belirtti.
Uzzanti, müşterilerinin dile getirdiği şeffaflık endişelerine yanıt olarak, “23+ yılımızda, öncelikle sürüm notları ve kritik düzeltme referansları aracılığıyla iletilen yalnızca birkaç CVE’miz oldu.” dedi. “İlerleyen politikadaki bu değişikliği teşvik eden geri bildirimleri takdir ediyoruz.”
Bu sefer SmarterMail yöneticilerine böyle bir e-postanın gönderilip gönderilmediği henüz belli değil. Hacker News, yorum yapmak için SmarterTools’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Bu gelişme, Singapur Siber Güvenlik Ajansı’nın (CSA), SmarterMail’deki (CVE-2025-52691, CVSS puanı: 10.0) uzaktan kod yürütmeyi gerçekleştirmek için kullanılabilecek maksimum önemdeki bir güvenlik kusurunun ayrıntılarını açıklamasından bir aydan kısa bir süre sonra gerçekleşti.