CVE-2026-26367 in eNet SMART HOME serverinformation

Résumé

par VulDB • 18/07/2026

Le serveur eNet SMART HOME versions 2.2.1 et 2.3.1 présente une vulnérabilité d'autorisation manquante dans la méthode JSON-RPC deleteUserAccount, permettant à tout utilisateur authentifié de bas niveau (UG_USER) de supprimer des comptes utilisateurs arbitraires, à l'exception du compte administrateur intégré. L'application n'impose pas le contrôle d'accès basé sur les rôles pour cette fonctionnalité, ce qui permet à un utilisateur standard de soumettre une requête POST manipulée vers /jsonrpc/management en spécifiant un autre nom d'utilisateur afin que ce compte soit supprimé sans privilèges élevés ni confirmation supplémentaire.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Réserver

15/02/2026

Divulgation

15/02/2026

Modérer

accepté

Entrée

VDB-346141

CPE

prêt

EPSS

0.00373

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!