製品・ソフトウェアに関する情報
Vulnerability Search
openremoteにおけるXML 外部エンティティの脆弱性
Title openremoteにおけるXML 外部エンティティの脆弱性
Summary

OpenRemoteはオープンソースのモノのインターネットプラットフォームです。バージョン1.22.0以前のVelbusアセットインポートパスは、明示的なXXE対策がなく、攻撃者が操作可能なXMLを解析してしまいます。インポートエンドポイントを呼び出せる認証済みユーザーは、XML外部エンティティ処理を引き起こす可能性があり、これによりサーバー側ファイルの情報漏洩やSSRFが発生する恐れがあります。対象ファイルは1023文字未満である必要があります。この問題はバージョン1.22.0で修正されました。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 22, 2026, midnight
Registration Date April 27, 2026, 10:47 a.m.
Last Update April 27, 2026, 10:47 a.m.
CVSS3.0 : 重要
Score 7.6
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
Affected System
openremote
openremote 1.22.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 10:47 a.m.
NVD Vulnerability Information
CVE-2026-40882
Summary

OpenRemote is an open-source internet-of-things platform. Prior to version 1.22.0, the Velbus asset import path parses attacker-controlled XML without explicit XXE hardening. An authenticated user who can call the import endpoint may trigger XML external entity processing, which can lead to server-side file disclosure and SSRF. The target file must be less than 1023 characters. Version 1.22.0 fixes the issue.

Publication Date April 23, 2026, 6:17 a.m.
Registration Date April 25, 2026, 4:06 a.m.
Last Update April 24, 2026, 10:24 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openremote:openremote:*:*:*:*:*:*:*:* 1.22.0
Related information, measures and tools
Common Vulnerabilities List