CVE-2026-26368 in eNet SMART HOME server
Resumen
por MITRE • 2026-02-15
eNet SMART HOME servidor 2.2.1 y 2.3.1 contiene una vulnerabilidad de autorización faltante en el método JSON-RPC resetUserPassword que permite a cualquier usuario autenticado con bajos privilegios (UG_USER) restablecer la contraseña de cuentas arbitrarias, incluidas las de los grupos UG_ADMIN y UG_SUPER_ADMIN, sin proporcionar la contraseña actual o tener privilegios suficientes. Al enviar una solicitud JSON-RPC manipulada a /jsonrpc/management, un atacante puede sobrescribir credenciales existentes, lo que resulta en una toma de control directa de la cuenta con acceso administrativo completo y escalada de privilegios persistente.
If you want to get best quality of vulnerability data, you may have to visit VulDB.