CVE-2026-26367 in eNet SMART HOME server
Résumé
par VulDB • 18/07/2026
Le serveur eNet SMART HOME versions 2.2.1 et 2.3.1 présente une vulnérabilité d'autorisation manquante dans la méthode JSON-RPC deleteUserAccount, permettant à tout utilisateur authentifié de bas niveau (UG_USER) de supprimer des comptes utilisateurs arbitraires, à l'exception du compte administrateur intégré. L'application n'impose pas le contrôle d'accès basé sur les rôles pour cette fonctionnalité, ce qui permet à un utilisateur standard de soumettre une requête POST manipulée vers /jsonrpc/management en spécifiant un autre nom d'utilisateur afin que ce compte soit supprimé sans privilèges élevés ni confirmation supplémentaire.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.