Celah Bypass Autentikasi SmarterMail Kini Dieksploitasi untuk Ambil Alih Akun Admin

Kerentanan serius pada SmarterMail kini tengah aktif dieksploitasi oleh penyerang untuk mengambil alih akun administrator. Celah ini memungkinkan pelaku mereset kata sandi admin tanpa autentikasi, sehingga memperoleh hak akses penuh ke server email dan sistem yang menampungnya.

SmarterMail merupakan platform server email dan kolaborasi berbasis Windows besutan SmarterTools, yang banyak digunakan oleh MSP, UKM, dan penyedia hosting email. Dengan basis pengguna yang luas, eksploitasi aktif atas celah ini berpotensi berdampak signifikan.

Detail Kerentanan dan Dampaknya

Celah berada pada endpoint API force-reset-password yang memang diekspos tanpa autentikasi. Endpoint ini menerima input JSON yang dapat dikontrol penyerang, termasuk properti IsSysAdmin. Dengan menyetel nilai ini ke true, backend menjalankan logika reset kata sandi administrator tanpa verifikasi keamanan apa pun—bahkan kolom OldPassword tidak divalidasi.

Akibatnya, siapa pun yang mengetahui atau menebak username admin dapat menetapkan kata sandi baru dan membajak akun administrator. Akses admin ini kemudian memungkinkan eksekusi perintah OS, yang berarti remote code execution (RCE) penuh pada host.

Kerentanan ini dilaporkan oleh peneliti dari watchTowr pada 8 Januari 2026. Perbaikan dirilis pada 15 Januari 2026. Namun, hanya dua hari setelah patch tersedia, terdeteksi eksploitasi di alam liar, mengindikasikan penyerang melakukan reverse engineering terhadap pembaruan untuk menemukan vektor serangan.

Eksploitasi Aktif dan Bukti Lapangan

watchTowr menerima laporan anonim terkait reset kata sandi admin yang tidak sah. Analisis log menunjukkan permintaan ke endpoint force-reset-password, menguatkan kesimpulan bahwa celah ini sedang disalahgunakan secara aktif. Peneliti juga mendemonstrasikan proof-of-concept yang menghasilkan akses shell level SYSTEM.

Perlu dicatat, kerentanan ini hanya memengaruhi akun level admin, bukan pengguna biasa. Namun, dampaknya tetap kritis karena jalur eskalasi langsung ke kendali penuh server.

Status CVE dan Rekomendasi

Awalnya dirilis tanpa penomoran CVE, kerentanan ini kini telah diberi identifier CVE-2026-23760 dengan tingkat kritis (CVSS 9,3). Pembaruan SmarterMail Build 9511 yang dirilis 15 Januari 2026 telah menutup celah ini (dan satu celah kritis lain yang ditemukan sebelumnya).

Rekomendasi tegas bagi seluruh pengguna SmarterMail:

• Segera upgrade ke Build 9511 atau lebih baru.
• Batasi eksposur antarmuka manajemen ke jaringan tepercaya.
• Audit log untuk aktivitas reset kata sandi yang mencurigakan.
• Terapkan kebijakan kata sandi kuat dan pemantauan akses admin.

Penundaan pembaruan berisiko membuka pintu bagi pengambilalihan server email, kebocoran data, hingga kompromi infrastruktur.