CVE-2026-56120 – OpenRemote < 1.25.0 IDOR via Bulk Alarm Deletion Endpoint

CVE ID :CVE-2026-56120

Published : June 23, 2026, 8:54 p.m. | 50 minutes ago

Description :OpenRemote before 1.25.0 contains an insecure direct object reference (IDOR) vulnerability in the bulk alarm deletion endpoint that allows authenticated users to permanently delete alarms belonging to other tenants by supplying arbitrary alarm IDs. The removeAlarms() method in AlarmResourceImpl.java omits realm-scoping validation in its JPA query, enabling any user with alarm-write permissions to enumerate sequential auto-increment alarm IDs and delete cross-tenant alarm records without authorization.

Severity: 8.6 | HIGH

Visit the link for more details, such as CVSS details, affected products, timeline, and more… 

آسیب‌پذیری‌های جدید و وصله‌های امنیتی به‌صورت مداوم منتشر می‌شوند و عدم بروزرسانی به‌موقع می‌تواند امنیت سرویس‌های حیاتی را به خطر بیندازد. خدمات مدیریت و پشتیبانی سرور آفاق هاستینگ شامل پایش امنیتی، بروزرسانی نرم‌افزارها، نصب Patchهای امنیتی و سخت‌سازی سرورها است.

خدمات مدیریت و امنیت سرور

نوشته های مشابه

CVE-2026-57589 – OpenBSD Use-After-Free Privilege Escalation

CVE-2026-9153 – Arbitrary File Read in Rapid7 InsightConnect Sed Plugin

CVE-2026-9154 – Arbitrary File Write in Rapid7 InsightConnect Sed Plugin

CVE-2026-9155 – OS Command Injection in Rapid7 InsightConnect Sed Plugin via expression parameter.