SmarterToolsのSmarterMailバージョン9511より前のビルドには、パスワードリセットAPIに認証をバイパスされる脆弱性があります。force-reset-passwordエンドポイントは匿名のリクエストを許可しており、システム管理者アカウントのリセット時に既存のパスワードやリセットトークンの検証を行いません。認証されていない攻撃者がターゲットの管理者ユーザー名と新しいパスワードを提供することでアカウントをリセットでき、SmarterMailインスタンスの完全な管理者権限を奪取される可能性があります。注：SmarterMailのシステム管理者権限は、組み込みの管理機能を介してオペレーティングシステムコマンドを実行可能にし、基盤となるホストに対して実質的に管理者（SYSTEMまたはroot）アクセスを提供します。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。