CVE-2026-40514

Nome do Software Vulnerável e Versões Afetadas SmarterTools SmarterMail versões anteriores a 9610

Descrição Existe uma fraqueza criptográfica nos endpoints de compartilhamento de arquivos e e-mails. Esses endpoints utilizam a criptografia DES-CBC com chaves e vetores de inicialização derivados de System.Random semeados com entropia insuficiente, o que limita o espaço de sementes a aproximadamente 19.000 valores possíveis. Um invasor não autenticado pode usar o endpoint de download de anexos como um oráculo para determinar a semente em uso e derivar as chaves de criptografia e os vetores de inicialização necessários. Isso permite que o invasor forje tokens de compartilhamento para e-mails, anexos ou conteúdos de armazenamento de arquivos arbitrários sem ter acesso prévio aos dados visados.

Recomendações Atualize para a build 9610 ou posterior.