CVE-2026-26368 in eNet SMART HOME server
Riassunto
di VulDB • 18/07/2026
Il server eNet SMART HOME nelle versioni 2.2.1 e 2.3.1 presenta una vulnerabilità di mancata autorizzazione nel metodo JSON-RPC resetUserPassword che consente a qualsiasi utente autenticato con privilegi ridotti (UG_USER) di reimpostare la password di account arbitrari, inclusi quelli appartenenti ai gruppi UG_ADMIN e UG_SUPER_ADMIN, senza fornire la password corrente o disporre dei privilegi sufficienti. Inviando una richiesta JSON-RPC manipolata ad hoc a /jsonrpc/management, un attaccante può sovrascrivere le credenziali esistenti, causando il takeover diretto dell'account con accesso amministrativo completo e escalation persistente dei privilegi.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.