CVE-2026-26367 in eNet SMART HOME serverinformación

Resumen

por MITRE • 2026-02-15

eNet SMART HOME server 2.2.1 y 2.3.1 contiene una vulnerabilidad de autorización faltante en el método JSON-RPC deleteUserAccount que permite a cualquier usuario autenticado con privilegios bajos (UG_USER) eliminar cuentas de usuario arbitrarias, excepto la cuenta de administrador integrada. La aplicación no aplica control de acceso basado en roles en esta función, permitiendo a un usuario estándar enviar una solicitud POST manipulada a /jsonrpc/management especificando otro nombre de usuario para que esa cuenta sea eliminada sin permisos elevados ni confirmación adicional.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Reservar

2026-02-15

Divulgación

2026-02-15

Moderación

aceptado

Artículo

VDB-346141

CPE

listo

EPSS

0.00373

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!