CRITICAL🇬🇧 English

CVE-2026-26366

Domyślne dane logowania w Jung-Group eNet SMART HOME Server

CVSS 9.3v4.0pub. 2026-02-15upd. 2026-02-26

Serwer eNet SMART HOME w wersjach 2.2.1 oraz 2.3.1 dostarczany jest z domyślnymi danymi logowania (user:user, admin:admin), które pozostają aktywne po instalacji i uruchomieniu bez wymuszenia zmiany hasła. Nieuwierzytelniony atakujący może wykorzystać te dane do uzyskania pełnego dostępu administracyjnego do systemu inteligentnego domu.

Pokaż oryginał (EN)

eNet SMART HOME server 2.2.1 and 2.3.1 ships with default credentials (user:user, admin:admin) that remain active after installation and commissioning without enforcing a mandatory password change. Unauthenticated attackers can use these default credentials to gain administrative access to sensitive smart home configuration and control functions.

🤖 Analiza AI
Jak działa

Podatność wynika z zastosowania domyślnych, powszechnie znanych danych uwierzytelniających (CWE-1392), które nie są unieważniane ani zmieniane w trakcie procesu instalacji i konfiguracji urządzenia. Producent nie wymusza obowiązkowej zmiany hasła po pierwszym uruchomieniu serwera. W rezultacie każdy atakujący mający dostęp sieciowy do interfejsu serwera może zalogować się z wykorzystaniem kont 'user:user' lub 'admin:admin', omijając w całości mechanizmy uwierzytelniania.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do konfiguracji i funkcji sterowania systemem inteligentnego domu, co umożliwia manipulację ustawieniami, przejęcie kontroli nad połączonymi urządzeniami oraz potencjalne naruszenie prywatności i bezpieczeństwa fizycznego użytkowników.

Mitygacja

Należy niezwłocznie zmienić domyślne hasła dla wszystkich kont (w szczególności 'user' i 'admin') na silne, unikatowe hasła bezpośrednio po instalacji. Należy zastosować patche dostępne u producenta zgodnie z referencjami oraz ograniczyć dostęp sieciowy do interfejsu zarządzania serwera wyłącznie do zaufanych hostów (np. przez firewall lub segmentację sieci).

Kogo dotyczy

Jung-Group eNet SMART HOME Server w wersjach 2.2.1 oraz 2.3.1

Uwagi

Podatność opisana w referencjach przez ZeroScience Lab (identyfikator ZSL-2026-5972) oraz VulnCheck. Wektor CVSS wskazuje na brak wymagań dotyczących uwierzytelnienia, interakcji użytkownika oraz szczególnych warunków ataku (AV:N/AC:L/AT:N/PR:N/UI:N), co czyni tę podatność trywialną do wykorzystania zdalnie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Jung Group Enet Smart Home

    APP
    Jung-Group
    2.2.12.3.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-26369CRITICAL9.3PL ✓ten sam produkt

Privilege escalation w eNet SMART HOME Server przez metodę setUserGroup

CVE-2026-26367HIGH7.1ten sam produkt

eNet SMART HOME server 2.2.1 and 2.3.1 contains a missing authorization vulnerability in the deleteUserAccount...

CVE-2026-26368HIGH8.7ten sam produkt

eNet SMART HOME server 2.2.1 and 2.3.1 contains a missing authorization vulnerability in the resetUserPassword...

CVE-2026-26234HIGH8.7ten sam vendor

JUNG Smart Visu Server 1.1.1050 contains a request header manipulation vulnerability that allows unauthenticat...

CVE-2026-26235HIGH8.7ten sam vendor

JUNG Smart Visu Server 1.1.1050 contains a denial of service vulnerability that allows unauthenticated attacke...

CVE-2026-26366 — Domyślne dane logowania w Jung-Group eNet SMART HOME Server — CRITICAL 9.3 | CVEbaza.pl