← voltar
CVE-2026-26367

JUNG eNet SMART HOME server 2.2.1/2.3.1 Arbitrary User Deletion via deleteUserAccount

CVSS 7.1 HIGHEPSS 0.4%CWE-862
Em resumo

Uma falha no servidor JUNG eNet SMART HOME permite que qualquer usuário comum delete contas de outros usuários através de uma requisição especial. Isso é perigoso porque usuários básicos conseguem danificar outras contas e impedir que pessoas legítimas acessem o sistema.

Detalhe técnico

O método JSON-RPC deleteUserAccount no endpoint /jsonrpc/management não valida adequadamente as permissões do usuário (CWE-862), permitindo que usuários autenticados com privilégios básicos (UG_USER) deletem contas arbitrárias via requisições POST com parâmetros manipulados. A vulnerabilidade afeta as versões 2.2.1 e 2.3.1, com exceção da conta admin.

Resumo gerado e traduzido por IA a partir da descrição oficial.
eNet SMART HOME server 2.2.1 and 2.3.1 contains a missing authorization vulnerability in the deleteUserAccount JSON-RPC method that permits any authenticated low-privileged user (UG_USER) to delete arbitrary user accounts, except for the built-in admin account. The application does not enforce role-based access control on this function, allowing a standard user to submit a crafted POST request to /jsonrpc/management specifying another username to have that account removed without elevated permissions or additional confirmation.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Produtos afetados
JUNG · eNet SMART HOME server

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.vulncheck.com/advisories/jung-enet-smart-home-server-arbitrary-user-deletiohttps://www.zeroscience.mk/en/vulnerabilities/ZSL-2026-5973.php