| Title | Fleet Device Managementのfleetにおける入力確認に関する脆弱性 |
|---|---|
| Summary | Fleetはオープンソースのデバイス管理ソフトウェアです。バージョン4.81.0以前のFleetには、gRPCランチャーの`PublishLogs`エンドポイントにおいてサービス拒否(DoS)の問題が存在していました。影響を受けるバージョンでは、特定の予期しない入力値が適切に処理されず、認証済みの登録済みランチャーホストからのリクエストを処理中にFleetサーバープロセスが終了する可能性がありました。認証された攻撃者が任意の登録済みランチャーノードキーにアクセスできる場合、`PublishLogs`エンドポイントに単一のgRPCリクエストを送信することで即時かつ完全なサービス拒否を引き起こすことが可能です。この脆弱性は可用性にのみ影響を与え、機密データの漏洩、認証バイパス、権限昇格、整合性には影響しません。バージョン4.81.0では修正が含まれています。すぐにアップグレードできない場合は、以下の緩和策により露出を減らすことが可能です。FleetのgRPCエンドポイントへのネットワークアクセスを可能な限り制限してください(例:既知のホストIP範囲へのインバウンドアクセスを限定する)。Launcherのログ取り込みが不要な場合は、gRPCトラフィックを終了またはフィルタリングするインフラの背後にFleetを配置してください。並びに繰り返されるFleetプロセスクラッシュや予期しない再起動の監視を行い、潜在的な悪用を検出してください。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 14, 2026, midnight |
| Registration Date | May 20, 2026, 1:21 p.m. |
| Last Update | May 20, 2026, 1:21 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Fleet Device Management |
| fleet 4.81.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月20日] 掲載 |
May 20, 2026, 1:21 p.m. |
| Summary | Fleet is open source device management software. Prior to version 4.81.0, Fleet contained a denial-of-service (DoS) issue in the gRPC Launcher `PublishLogs` endpoint. In affected versions, certain unexpected input values were not handled gracefully, which could cause the Fleet server process to terminate while processing an authenticated request from an enrolled Launcher host. An authenticated attacker with access to any enrolled Launcher node key could cause an immediate and complete denial of service by sending a single gRPC request to the `PublishLogs` endpoint. This vulnerability impacts availability only. There is no exposure of sensitive data, no authentication bypass, no privilege escalation, and no integrity impact. Version 4.81.0 contains a patch. If upgrading immediately is not possible, the following mitigations can reduce exposure. Restrict network access to the Fleet gRPC endpoint where feasible (for example, limiting inbound access to known host IP ranges); deploy Fleet behind infrastructure that terminates or filters gRPC traffic if Launcher log ingestion is not required; and/or monitor for repeated Fleet process crashes or unexpected restarts indicating potential exploitation. |
|---|---|
| Publication Date | May 15, 2026, 5:17 a.m. |
| Registration Date | May 17, 2026, 4:09 a.m. |
| Last Update | May 18, 2026, 11:09 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:* | 4.81.0 | ||||