CVE-2026-26367
JUNG eNet SMART HOME server 2.2.1/2.3.1 Arbitrary User Deletion via deleteUserAccount
En resumen
Una falla en el servidor JUNG eNet SMART HOME permite que cualquier usuario regular elimine cuentas de otros usuarios mediante una solicitud especialmente diseñada. Esto es peligroso porque usuarios de bajo nivel pueden dañar otras cuentas e impedir que usuarios legítimos accedan al sistema.
Detalle técnico
El método JSON-RPC deleteUserAccount en el endpoint /jsonrpc/management carece de validación adecuada de autorización (CWE-862), permitiendo que usuarios autenticados con privilegios básicos (UG_USER) eliminen cuentas arbitrarias mediante solicitudes POST con parámetros manipulados. La vulnerabilidad afecta las versiones 2.2.1 y 2.3.1, excepto la cuenta administrador.
Resumen generado y traducido por IA a partir de la descripción oficial.
eNet SMART HOME server 2.2.1 and 2.3.1 contains a missing authorization vulnerability in the deleteUserAccount JSON-RPC method that permits any authenticated low-privileged user (UG_USER) to delete arbitrary user accounts, except for the built-in admin account. The application does not enforce role-based access control on this function, allowing a standard user to submit a crafted POST request to /jsonrpc/management specifying another username to have that account removed without elevated permissions or additional confirmation.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Productos afectados
JUNG · eNet SMART HOME server¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →