Plataforma
other
Componente
enet-smart-home-server
Corregido en
2.3.2
2.2.2
Se ha descubierto una vulnerabilidad de escalada de privilegios en el servidor eNet SMART HOME, afectando a las versiones 2.2.1 y 2.3.1. Esta falla permite a un usuario con privilegios limitados (UGUSER) elevar sus privilegios a UGADMIN mediante una solicitud POST manipulada, obteniendo control administrativo sobre el sistema. La vulnerabilidad fue publicada el 15 de febrero de 2026 y se ha solucionado en la versión 2.3.2.
La explotación exitosa de esta vulnerabilidad permite a un atacante con acceso limitado a la red de SMART HOME obtener control administrativo completo sobre el sistema. Esto incluye la capacidad de modificar la configuración de los dispositivos, alterar la configuración de la red y, en última instancia, comprometer la seguridad de toda la casa inteligente. Un atacante podría, por ejemplo, deshabilitar sistemas de seguridad, acceder a datos personales almacenados en dispositivos conectados o incluso tomar el control de dispositivos críticos como cerraduras de puertas y sistemas de climatización. La naturaleza de la vulnerabilidad, que se basa en la manipulación de solicitudes JSON-RPC, es similar a otras vulnerabilidades de control de acceso que han sido explotadas en sistemas de automatización del hogar, lo que aumenta el riesgo de explotación.
La vulnerabilidad CVE-2026-26369 ha sido publicada públicamente y, dada su alta severidad (CVSS 9.8), es probable que sea objeto de escaneo y explotación activa. No se ha añadido a la lista KEV de CISA, pero su gravedad sugiere que podría serlo en el futuro. No se han reportado públicamente pruebas de concepto (PoC) disponibles, pero la descripción de la vulnerabilidad es clara y concisa, lo que facilita la creación de un exploit. La falta de una versión fija anterior a la 2.3.2 implica que los sistemas que no se actualicen están en riesgo inmediato.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el servidor eNet SMART HOME a la versión 2.3.2 o superior, que incluye la corrección de la falla de autorización. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la API de administración ( /jsonrpc/management ) a usuarios con privilegios administrativos verificados. Implementar reglas de firewall para limitar el tráfico a este endpoint solo a direcciones IP confiables puede reducir la superficie de ataque. Monitorear los registros del servidor en busca de solicitudes POST sospechosas al endpoint /jsonrpc/management con parámetros manipulados puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la corrección verificando que un usuario UGUSER no pueda elevar sus privilegios a UGADMIN mediante la solicitud JSON-RPC.
Actualice el servidor eNet SMART HOME a una versión posterior a la 2.3.1 que corrija la vulnerabilidad de escalada de privilegios. Consulte el sitio web del proveedor JUNG para obtener la última versión y las instrucciones de actualización. Asegúrese de seguir las mejores prácticas de seguridad al configurar y administrar su sistema de hogar inteligente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26369 is a critical vulnerability in eNet SMART HOME server versions 2.2.1–2.3.1 that allows a low-privileged user to escalate to an administrator, gaining full control of the system. This is due to insufficient authorization checks in the setUserGroup JSON-RPC method.
You are affected if you are running eNet SMART HOME server version 2.2.1 or 2.3.1. Versions prior to 2.3.2 are vulnerable to privilege escalation.
Upgrade your eNet SMART HOME server to version 2.3.2 or later to resolve this vulnerability. If immediate upgrade is not possible, restrict access to the /jsonrpc/management endpoint.
While no public exploits are currently known, the ease of exploitation suggests a high likelihood of exploitation. Monitor your systems closely and apply the patch as soon as possible.
Refer to the official eNet security advisory for detailed information and updates regarding CVE-2026-26369. Check the eNet website or contact eNet support for the latest advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.