製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

openremoteにおける複数の脆弱性

タイトル	openremoteにおける複数の脆弱性
概要	OpenRemoteはオープンソースのIoTプラットフォームです。バージョン1.21.0以下には、ルールエンジン内に関連した2つの式インジェクション脆弱性が存在し、これによりサーバー上で任意のコードを実行可能です。JavaScriptルールエンジンは、NashornのScriptEngine.eval()を介してユーザー提供のスクリプトをサンドボックス化せず、クラスフィルタリングやアクセス制限なしに実行します。また、RulesResourceImplの認可チェックはGroovyルールをスーパーユーザーにのみ制限しますが、JavaScriptルールはwrite:rulesロールを持つ任意のユーザーが制限なくアクセスできます。加えて、GroovyルールエンジンにはGroovyDenyAllFilterというセキュリティフィルターが定義されているものの、登録コードがコメントアウトされているため登録されておらず、SandboxTransformerはスーパーユーザー作成のGroovyルールに対して無効です。write:rulesロールを持つ非スーパーユーザーの攻撃者は、完全なJVMアクセス権限で実行されるJavaScriptルールセットを作成でき、これによりrootとしてリモートコードの実行、任意のファイル読み取り、データベース認証情報を含む環境変数の窃取、およびマルチテナント隔離の完全なバイパスを行い、全領域のデータにアクセス可能となります。本問題はバージョン1.22.0で修正されています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月15日0:00
登録日	2026年4月27日11:21
最終更新日	2026年4月27日11:21

CVSS3.0 : 緊急
スコア	9.9
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

影響を受けるシステム

openremote

openremote 1.22.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39842	https://www.cve.org/CVERecord?id=CVE-2026-39842
National Vulnerability Database (NVD)
2	CVE-2026-39842	https://nvd.nist.gov/vuln/detail/CVE-2026-39842

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-917	https://cwe.mitre.org/data/definitions/917.html
2	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
GitHub
1	Expression Injection in OpenRemote Advisory openremote/openremote GitHub	https://github.com/openremote/openremote/security/advisories/GHSA-7mqr-33rv-p3mp

その他

No	名前	URL
関連文書
1	Release 1.22.0 openremote/openremote GitHub	https://github.com/openremote/openremote/releases/tag/1.22.0

変更履歴

No	変更内容	変更日
1	[2026年04月27日] 掲載	2026年4月27日11:21

NVD脆弱性情報

CVE-2026-39842

概要	OpenRemote is an open-source IoT platform. Versions 1.21.0 and below contain two interrelated expression injection vulnerabilities in the rules engine that allow arbitrary code execution on the server. The JavaScript rules engine executes user-supplied scripts via Nashorn's ScriptEngine.eval() without sandboxing, class filtering, or access restrictions, and the authorization check in RulesResourceImpl only restricts Groovy rules to superusers while leaving JavaScript rules unrestricted for any user with the write:rules role. Additionally, the Groovy rules engine has a GroovyDenyAllFilter security filter that is defined but never registered, as the registration code is commented out, rendering the SandboxTransformer ineffective for superuser-created Groovy rules. A non-superuser attacker with the write:rules role can create JavaScript rulesets that execute with full JVM access, enabling remote code execution as root, arbitrary file read, environment variable theft including database credentials, and complete multi-tenant isolation bypass to access data across all realms. This issue has been fixed in version 1.22.0.
公表日	2026年4月15日13:17
登録日	2026年4月17日4:11
最終更新日	2026年4月24日2:34

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openremote:openremote::::::::					1.22.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/openremote/openremote/releases/tag/1.22.0	security-advisories@github.com
2	https://github.com/openremote/openremote/security/advisories/GHSA-7mqr-33rv-p3mp	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html
2	CWE-917	言語構文の表現に使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/917.html