CRITICAL🇬🇧 English

CVE-2026-23518

Brak weryfikacji podpisu JWT w Fleet Windows MDM — nieautoryzowana rejestracja urządzeń

CVSS 9.3v4.0pub. 2026-01-21upd. 2026-02-27

W oprogramowaniu Fleet do zarządzania urządzeniami wykryto podatność polegającą na braku weryfikacji podpisów JWT w procesie rejestracji Windows MDM. Atakujący może przesłać sfałszowane tokeny uwierzytelniające i zarejestrować nieautoryzowane urządzenia pod dowolną tożsamością użytkownika Azure AD.

Pokaż oryginał (EN)

Fleet is open source device management software. In versions prior to 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3, a vulnerability in Fleet's Windows MDM enrollment flow could allow an attacker to submit forged authentication tokens that are not properly validated. Because JWT signatures were not verified, Fleet could accept attacker-controlled identity claims, enabling enrollment of unauthorized devices under arbitrary Azure AD user identities. Versions 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3 fix the issue. If an immediate upgrade is not possible, affected Fleet users should temporarily disable Windows MDM.

🤖 Analiza AI
Jak działa

Podatność (CWE-347 — brak weryfikacji podpisu kryptograficznego) polega na tym, że Fleet nie weryfikuje podpisów JWT przesyłanych podczas procesu rejestracji Windows MDM. W efekcie system akceptuje tokeny spreparowane przez atakującego zawierające dowolnie wskazane dane tożsamości. Pozwala to na podstawienie fałszywych claimów tożsamościowych powiązanych z dowolnym kontem użytkownika Azure AD i przeprowadzenie rejestracji nieautoryzowanego urządzenia jako zaufanego.

Skutki

Atakujący może zarejestrować nieautoryzowane urządzenia w systemie Fleet, podszywając się pod dowolnego użytkownika Azure AD, co prowadzi do naruszenia integralności i poufności danych zarządzanych przez platformę MDM.

Mitygacja

Należy zaktualizować Fleet do wersji 4.78.3, 4.77.1, 4.76.2, 4.75.2 lub 4.53.3, w zależności od używanej gałęzi. Jeśli natychmiastowa aktualizacja nie jest możliwa, producent zaleca tymczasowe wyłączenie funkcji Windows MDM.

Kogo dotyczy

Fleetdm Fleet w wersjach wcześniejszych niż 4.78.3, 4.77.1, 4.76.2, 4.75.2 oraz 4.53.3

Uwagi

Producent wskazuje konkretne obejście (workaround): tymczasowe wyłączenie Windows MDM do czasu wdrożenia patcha. Poprawka dostępna w ramach wielu równoległych gałęzi wydaniowych.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Fleetdm Fleet

    APP
    Fleetdm
    4.77.0< 4.53.34.75.0 – 4.75.2 (bez)4.76.0 – 4.76.2 (bez)4.78.0 – 4.78.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-26276CRITICAL10.0ten sam produkt

Fleet is an open source osquery manager. In Fleet before version 3.5.1, due to issues in Go's standard library...

CVE-2026-24899HIGH8.2ten sam produkt

Fleet is open source device management software. Prior to version 4.82.0, a vulnerability in Fleet's Windows M...

CVE-2026-26062HIGH8.7ten sam produkt

Fleet is open source device management software. Prior to version 4.81.0, Fleet contained a denial-of-service ...

CVE-2026-23998HIGH8.2ten sam produkt

Fleet is open source device management software. Prior to version 4.81.0, a vulnerability in Fleet’s Windows M...

CVE-2026-27806HIGH7.8ten sam produkt

Fleet is open source device management software. Prior to 4.81.1, the Orbit agent's FileVault disk encryption ...

CVE-2026-23518 — Brak weryfikacji podpisu JWT w Fleet Windows MDM — nieautoryzowana rejestracja urządzeń — CRITICAL 9.3 | CVEbaza.pl