CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26369

Critical
Published: Translated: NVD NIST

Summary

Serwer eNet SMART HOME w wersjach 2.2.1 i 2.3.1 zawiera podatność na eskalację uprawnień z powodu niewystarczających kontroli autoryzacji w metodzie setUserGroup JSON-RPC. Użytkownik o niskich uprawnieniach (UG_USER) może wysłać spreparowane żądanie POST do /jsonrpc/management, określając swoją nazwę użytkownika, aby podnieść swoje konto do grupy UG_ADMIN.

Risk Assessment

Podatność ta pozwala na obejście zamierzonych kontroli dostępu, co może prowadzić do nieautoryzowanego uzyskania uprawnień administracyjnych. W konsekwencji, atakujący może modyfikować konfiguracje urządzeń, ustawienia sieciowe oraz inne funkcje systemu inteligentnego domu.

Recommendation

Zaleca się aktualizację serwera eNet SMART HOME do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wprowadzić dodatkowe kontrole autoryzacji dla metod zarządzających użytkownikami.

Original NVD description (English source)

eNet SMART HOME server 2.2.1 and 2.3.1 contains a privilege escalation vulnerability due to insufficient authorization checks in the setUserGroup JSON-RPC method. A low-privileged user (UG_USER) can send a crafted POST request to /jsonrpc/management specifying their own username to elevate their account to the UG_ADMIN group, bypassing intended access controls and gaining administrative capabilities such as modifying device configurations, network settings, and other smart home system functions.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS