SmarterTools Inc.のSmarterMailにおけるパストラバーサルの脆弱性
| Title |
SmarterTools Inc.のSmarterMailにおけるパストラバーサルの脆弱性
|
| Summary |
SmarterTools SmarterMailの9560以前のバージョンには、/api/v1/report/summary/{type} APIエンドポイントにローカルファイルインクルージョンの脆弱性があり、認証済みユーザーがシステム上の任意の.jsonファイルを読み取ることが可能です。攻撃者はこの脆弱性を、弱い暗号化アルゴリズムやハードコードされたキーと組み合わせて悪用し、すべてのユーザーの保存されたパスワードや2要素認証の秘密情報を復号してアクセスできます。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 8, 2026, midnight |
| Registration Date |
June 8, 2026, 11:44 a.m. |
| Last Update |
June 8, 2026, 11:44 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Affected System
| SmarterTools Inc. |
|
SmarterMail 100.0.9560 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月08日]
掲載 |
June 8, 2026, 11:44 a.m. |
NVD Vulnerability Information
CVE-2026-7807
| Summary |
SmarterTools SmarterMail builds prior to 9560 contain a local file inclusion vulnerability in the /api/v1/report/summary/{type} API endpoint that allows authenticated users to read arbitrary .json files on the system. Attackers can exploit this vulnerability combined with weak encryption algorithms and hardcoded keys to decrypt and access stored passwords and 2FA secrets for all users.
|
| Publication Date |
May 9, 2026, 5:16 a.m. |
| Registration Date |
May 10, 2026, 4:09 a.m. |
| Last Update |
May 14, 2026, 12:29 a.m. |
Related information, measures and tools
Common Vulnerabilities List