Gesloten cyclus: Waarneming → Onderzoek → Evaluatie → Feedback Pentest + Red Teaming (risicogebaseerd) CTEM + AEV voor continu valideren
Eerste lijn in control • NCSC aligned • Traceability
Publiek EUVD item

EUVD-2026-6140

CVSS: 9.3 EPSS: 0.0 CVSS v4.0

Publicatie: 2026-02-15 · Update: 2026-02-15

Samenvatting

eNet SMART HOME server 2.2.1 en 2.3.1 bevat een kwetsbaarheid voor privilege-escalatie als gevolg van onvoldoende autorisatiecontroles in de setUserGroup JSON-RPC methode. Een laaggeprivilegieerde gebruiker (UG_USER) kan een aangepast POST-verzoek sturen naar /jsonrpc/management met vermelding van zijn eigen gebruikersnaam om zijn account te verheffen naar de UG_ADMIN-groep, de bedoelde toegangscontroles te omzeilen en beheerderscapaciteiten te verkrijgen, zoals het wijzigen van apparaatconfiguraties, netwerkinstellingen en andere functies van het smart home-systeem.

Wat betekent dit praktisch?

  • Gebruik dit als externe signalering, niet als automatisch bewijs van impact op jouw omgeving.
  • Als je dit item intern wilt triagen: noteer versies, exposure (internet/intern) en exploit-signalering.
  • In HackSec kun je dit koppelen aan stack-profielen en alert policies (achter login).
Terug Inloggen