漏洞描述
SmarterTools SmarterMail 在 build 9511 之前的版本中,ConnectToHub API 方法存在未授权远程代码执行漏洞。由于该接口在与外部 HTTP 服务器通信时未对返回内容进行安全校验,攻击者可将 SmarterMail 指向其控制的恶意 HTTP 服务器,由该服务器返回包含操作系统命令的恶意响应,从而导致 SmarterMail 在未进行身份认证的情况下执行任意系统命令。
SmarterMail ConnectToHub /api/v1/settings/sysadmin/connect-to-hub 命令执行漏洞(CVE-2026-24423)
PoC代码
暂无