駭客開始利用 SmarterTools 的 SmarterMail 電子郵件伺服器和協作工具中的身份驗證繞過漏洞，該漏洞允許重設管理員密碼。網路安全公司 watchTowr 的研究人員於 1 月 8 日報告了一個嚴重的預授權遠端程式碼執行漏洞，編號為CVE-2025-52691，這導致了最新問題的發現。建議 SmarterMail 用戶升級到最新版本的軟體，即 1 月 15 日發布的Build 9511 版本，該版本解決了這兩個問題。
問題解決後，研究人員發現，僅僅兩天後，攻擊者就開始利用漏洞，這表明駭客對修補程式進行了逆向工程，並找到了利用該漏洞的方法。

SmarterMail 是由 SmarterTools 開發的自架 Windows 電子郵件伺服器和協作平台，提供 SMTP/IMAP/POP 電子郵件、網頁郵件、行事曆、聯絡人和基本群組功能，它通常被託管服務提供者 (MSP)、中小企業以及提供電子郵件服務的主機託管商使用。

此無 CVE 漏洞源自於 API 端點“force-reset-password”接受攻擊者控制的 JSON 輸入，其中包含一個“IsSysAdmin”布林類型屬性，如果將其設為“true”，則會強制後端執行系統管理員密碼重設邏輯。

資料來源：https://www.bleepingcomputer.com/news/security/smartermail-auth-bypass-flaw-now-exploited-to-hijack-admin-accounts/