Maximilian Wiegand

**Nome do Software Vulnerável e Versões Afetadas** SmarterTools SmarterMail versões anteriores a 9610 **Descrição** Existe uma fraqueza criptográfica nos endpoints de compartilhamento de arquivos e e-mails. Esses endpoints utilizam a criptografia DES-CBC com chaves e vetores de inicialização derivados de `System.Random` semeados com entropia insuficiente, o que limita o espaço de sementes a aproximadamente 19.000 valores possíveis. Um invasor não autenticado pode usar o endpoint de download de anexos como um oráculo para determinar a semente em uso e derivar as chaves de criptografia e os vetores de inicialização necessários. Isso permite que o invasor forje tokens de compartilhamento para e-mails, anexos ou conteúdos de armazenamento de arquivos arbitrários sem ter acesso prévio aos dados visados. **Recomendações** Atualize para a build 9610 ou posterior.