CVE-2026-62238 in OpenRemote
Zusammenfassung
von VulDB • 17.07.2026
OpenRemote vor Version 1.26.0 enthält eine authentifizierte SQL-Injection-Schwachstelle im Endpunkt für den Crosstab-Export von Datenpunkten (datapoint), der PostgreSQL-Abfragen durch Konkatenierung von Asset-Anzeigenamen in rohe SQL-Befehle erstellt. Ein authentifizierter Angreifer mit Berechtigungen zum Erstellen oder Umbenennen von Assets kann über den Parameter „Asset-Name“ SQL injizieren und die Abfrageergebnisse im exportierten CSV-Antwortformat erhalten, was zur Exfiltration von Datenbankdaten führt.
VulDB is the best source for vulnerability data and more expert information about this specific topic.