【漏洞预警】SmarterMail ConnectToHub /api/v1/settings/sysadmin/connect-to-hub 命令 执行漏洞（CVE-2026-24423）

漏洞名称：SmarterMail ConnectToHub /api/v1/settings/sysadmin/connect-to-hub 命令执行漏洞（CVE-2026-24423）

风险等级：

高危风险

漏洞描述：

SmarterMail 是一款由 SmarterTools 公司开发的企业级邮件服务器软件，适用于 Windows 平台。它提供完整的电子邮件、日历、联系人、任务管理和即时消息功能，支持标准协议如 SMTP、POP3、IMAP 以及 CalDAV 和 CardDAV，便于与各类邮件客户端（如 Outlook、Thunderbird、移动设备等）集成。

该漏洞源于 ConnectToHub API 接口未对访问者进行身份验证。攻击者可通过构造特定请求，诱导 SmarterMail 服务器指向恶意 HTTP 服务器，进而向 SmarterMail 返回恶意操作系统命令。攻击者可以远程执行任意命令，完全控制受影响的系统，导致数据泄露、服务中断等严重后果。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

FOFA自检语句：

app="SmarterTools-SmarterMail"

受影响版本：

SmarterMail < Build 9511

临时修复方案：

官方已发布安全补丁，请及时更新至最新版本：

SmarterMail >= Build 9511

下载地址：

https://www.smartertools.com/smartermail/downloads

漏洞检测工具：

鉴于该漏洞影响范围较大，建议优先处置排查，Goby EXP效果如视频演示如下：