Katalog CVE

CVE-2026-26369

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Serwer eNet SMART HOME w wersjach 2.2.1 i 2.3.1 zawiera podatność na eskalację uprawnień z powodu niewystarczających kontroli autoryzacji w metodzie setUserGroup JSON-RPC. Użytkownik o niskich uprawnieniach (UG_USER) może wysłać spreparowane żądanie POST do /jsonrpc/management, określając swoją nazwę użytkownika, aby podnieść swoje konto do grupy UG_ADMIN.

Ocena ryzyka

Podatność ta pozwala na obejście zamierzonych kontroli dostępu, co może prowadzić do nieautoryzowanego uzyskania uprawnień administracyjnych. W konsekwencji, atakujący może modyfikować konfiguracje urządzeń, ustawienia sieciowe oraz inne funkcje systemu inteligentnego domu.

Rekomendacja

Zaleca się aktualizację serwera eNet SMART HOME do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wprowadzić dodatkowe kontrole autoryzacji dla metod zarządzających użytkownikami.

Oryginalny opis (angielski, źródło NVD)

eNet SMART HOME server 2.2.1 and 2.3.1 contains a privilege escalation vulnerability due to insufficient authorization checks in the setUserGroup JSON-RPC method. A low-privileged user (UG_USER) can send a crafted POST request to /jsonrpc/management specifying their own username to elevate their account to the UG_ADMIN group, bypassing intended access controls and gaining administrative capabilities such as modifying device configurations, network settings, and other smart home system functions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS