CVE-2026-26367 in eNet SMART HOME server
Resumen
por MITRE • 2026-02-15
eNet SMART HOME server 2.2.1 y 2.3.1 contiene una vulnerabilidad de autorización faltante en el método JSON-RPC deleteUserAccount que permite a cualquier usuario autenticado con privilegios bajos (UG_USER) eliminar cuentas de usuario arbitrarias, excepto la cuenta de administrador integrada. La aplicación no aplica control de acceso basado en roles en esta función, permitiendo a un usuario estándar enviar una solicitud POST manipulada a /jsonrpc/management especificando otro nombre de usuario para que esa cuenta sea eliminada sin permisos elevados ni confirmación adicional.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.