漏洞描述
SmarterMail ConnectToHub API 接口未对访问者进行身份验证。攻击者可通过构造特定请求,诱导 SmarterMail 服务器指向恶意HTTP 服务器,访问服务器的/web/api/node-management/setup-initial-connection接口,进而向SmarterMail 返回恶意操作系统命令。攻击者可以通过该漏洞执行任意命令,获取服务器权限。
SmarterTools SmarterMail 远程代码执行漏洞(CVE-2026-24423)
PoC代码
暂无