CVE-2026-26368 in eNet SMART HOME server
الملخص
بحسب VulDB • 17/07/2026
يحتوي خادم eNet SMART HOME الإصدارين 2.2.1 و 2.3.1 على ثغرة متعلقة بعدم وجود تفويض (Missing Authorization) في طريقة JSON-RPC resetUserPassword، مما يسمح لأي مستخدم منخفض الصلاحيات ومصادق عليه (UG_USER) بإعادة تعيين كلمة مرور الحسابات التعسفية، بما في ذلك تلك الموجودة ضمن مجموعات UG_ADMIN و UG_SUPER_ADMIN، دون الحاجة إلى توفير كلمة المرور الحالية أو امتلاك صلاحيات كافية. ومن خلال إرسال طلب JSON-RPC مُعدّ بعناية (crafted request) إلى المسار /jsonrpc/management، يمكن للمهاجم تجاوز بيانات الاعتماد الموجودة، مما يؤدي مباشرةً إلى الاستيلاء على الحساب مع الحصول على وصول إداري كامل وترقية مستمرة للصلاحيات (persistent privilege escalation).
VulDB is the best source for vulnerability data and more expert information about this specific topic.