CVE-2026-56120 OpenRemote IDOR
A vulnerabilidade é uma referência direta de objeto insegura que permite que usuários autenticados excluam alarmes de outros locatários. Isso ocorre devido à falta de validação de escopo de realm no método removeAlarms() da classe AlarmResourceImpl.java. O impacto real é a exclusão não autorizada de alarmes de outros locatários. A exploração requer conhecimento dos IDs dos alarmes, que podem ser enumerados por usuários com permissões de escrita de alarmes.
CVE: CVE-2026-56120
Severidade: HIGH
Resumo:
A vulnerabilidade é uma referência direta de objeto insegura que permite que usuários autenticados excluam alarmes de outros locatários. Isso ocorre devido à falta de validação de escopo de realm no método removeAlarms() da classe AlarmResourceImpl.java. O impacto real é a exclusão não autorizada de alarmes de outros locatários. A exploração requer conhecimento dos IDs dos alarmes, que podem ser enumerados por usuários com permissões de escrita de alarmes.
CVSS: 8.1