CVE-2026-41166

Name of the Vulnerable Software and Affected Versions OpenRemote versões anteriores a 1.22.1

Description Um usuário que possua a função write:admin em um realm do Keycloak pode utilizar a API do Manager para atualizar as funções de realm do Keycloak para usuários em outro realm, incluindo o realm master. O problema ocorre porque o manipulador utiliza o segmento de caminho {realm} ao se comunicar com o provedor de identidade, mas não verifica se o chamador possui privilégios administrativos para esse realm específico. Esta falha está localizada na função updateUserRealmRoles() em manager/src/main/java/org/openremote/manager/security/UserResourceImpl.java. Um invasor poderia conseguir a escalada de privilégios para administrador do realm master se controlar qualquer usuário dentro desse realm.

Recommendations Atualizar para a versão 1.22.1.