تتعرض أنظمة البريد الإلكتروني لـ SmarterMail لثغرة أمنية خطيرة يمكن استغلالها لتجاوز التحقق من الهوية، وذلك بعد أيام قليلة من إصدار تحديث لمعالجة المشكلة. يأتي هذا التطور وسط جهود مستمرة لتعزيز أمن البريد الإلكتروني في الأدوات التجارية.
تم اكتشاف الثغرة، التي يشار إليها حالياً بالاختصار WT-2026-0001، من قبل شركة watchTowr Labs، وقد أصدرت SmarterTools تحديثاً (Build 9511) في 15 يناير 2026 لمعالجتها. تم الكشف عن الثغرة بشكل مسؤول من قبل الشركة يوم 8 يناير 2026.
ثغرة تجاوز المصادقة في SmarterMail
تسمح هذه الثغرة، التي تندرج ضمن فئة تجاوز المصادقة، لأي مستخدم بإعادة تعيين كلمة مرور مسؤول النظام. يتم ذلك من خلال إرسال طلب HTTP مصمم بعناية إلى نقطة النهاية “/api/v1/auth/force-reset-password”.
وفقاً لباحثين من watchTowr Labs، فإن هذه المشكلة تفتح الباب أمام استغلال وظائف تنفيذ الأوامر عن بعد (RCE) للتحكم المباشر في أوامر نظام التشغيل.
آلية عمل الثغرة
تكمن المشكلة الأساسية في وظيفة “SmarterMail.Web.Api.AuthenticationController.ForceResetPassword”. فالميزة تسمح بالوصول إلى نقطة النهاية المذكورة دون الحاجة إلى مصادقة.
إضافة إلى ذلك، تعتمد الوظيفة على علم منطقي (boolean flag) يدعى “IsSysAdmin” في طلب إعادة التعيين. يستخدم هذا العلم لتحديد ما إذا كان المستخدم الحالي هو مسؤول النظام أم لا، مما يفتح مساراً له علاقة بالامتيازات.
في حال تم تعيين العلم “IsSysAdmin” على “true” (مما يشير إلى أن المستخدم مسؤول)، فإن المنطق الأساسي يقوم بتنفيذ سلسلة من الإجراءات. تشمل هذه الإجراءات الحصول على إعدادات المستخدم، إنشاء مسؤول نظام جديد بكلمة مرور جديدة، وتحديث حساب المسؤول بكلمة المرور المختارة.
بمعنى آخر، يمكن للمهاجم استغلال هذا المسار لتغيير كلمة مرور مسؤول النظام بسهولة، شريطة معرفة اسم حساب مسؤول موجود مسبقاً. هذا النقص الجوهري في التحكم الأمني يمنح المهاجم القدرة على الحصول على وصول ذي امتيازات.
لا يقتصر الأمر على ذلك، فتجاوز المصادقة يوفر أيضاً مساراً مباشراً لتنفيذ الأوامر عن بعد. يتم ذلك عبر وظيفة مدمجة تسمح لمسؤول النظام بتنفيذ أوامر نظام التشغيل، مما يمنح القدرة على الوصول إلى مستوى النظام (SYSTEM-level shell).
يمكن إنجاز ذلك من خلال الانتقال إلى صفحة الإعدادات، إنشاء وحدة تخزين جديدة، وإدخال أمر اعتباطي في حقل “Volume Mount Command”. يتم تنفيذ هذا الأمر لاحقاً بواسطة نظام تشغيل المضيف.
استغلال الثغرة في العالم الواقعي
قالت الشركة الأمنية إنها قررت نشر التفاصيل حول الثغرة بعد ملاحظة منشور في منتدى SmarterTools Community Portal. ذكر فيه أحد المستخدمين فقدانه الوصول إلى حسابه الإداري، وتشير السجلات إلى استخدام نفس نقطة النهاية “force-reset-password” لتغيير كلمة المرور في 17 يناير 2026، أي بعد يومين من إصدار التحديث.
هذا يشير بقوة إلى أن المهاجمين تمكنوا من هندسة عكسية للتحديثات وإعادة بناء الثغرة. ما يزيد الأمر تعقيداً هو أن ملاحظات الإصدار الخاصة بـ SmarterMail غالباً ما تكون غامضة ولا تذكر صراحةً المشكلات التي تم معالجتها. أحد البنود في قائمة التحديثات (Build 9511) يذكر ببساطة “هام: إصلاحات أمنية حرجة”.
رد SmarterTools وتوصيات الأمان
في رد فعلها، أشار تيم أوزانتي، الرئيس التنفيذي لشركة SmarterTools، إلى أن هذه الغموض المتعمد في بعض الأحيان يكون بهدف تجنب تزويد الجهات الخبيثة بـ “ذخيرة” إضافية. لكنه أضاف أن الشركة تخطط لإرسال بريد إلكتروني في كل مرة يتم فيها اكتشاف معرف CVE جديد، وكذلك عند إصدار تحديث لمعالجة المشكلة.
وأضاف أوزانتي رداً على استفسارات العملاء حول الشفافية: “على مدار 23 عاماً، لم نواجه سوى عدد قليل من معرفات CVE، والتي تم توصيلها بشكل أساسي من خلال ملاحظات الإصدار والإشارات إلى الإصلاحات الحرجة. نقدر الملاحظات التي شجعت على هذا التغيير في السياسة للمضي قدماً.”
حتى الآن، ليس من الواضح ما إذا كان قد تم إرسال مثل هذا البريد الإلكتروني إلى مسؤولي SmarterMail هذه المرة. وقد تواصلت The Hacker News مع SmarterTools للحصول على تعليق، وسيتم تحديث الخبر عند الحصول على رد.
يأتي هذا التطور بعد أقل من شهر من قيام وكالة الأمن السيبراني في سنغافورة (CSA) بالكشف عن تفاصيل ثغرة أمنية ذات خطورة قصوى في SmarterMail (CVE-2025-52691، CVSS score: 10.0)، والتي يمكن استغلالها لتحقيق تنفيذ الأوامر عن بعد، مما يؤكد على أهمية اليقظة المستمرة في مجال أمن البريد الإلكتروني.