製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Fleet Device Managementのfleetにおけるスプーフィングによる認証回避に関する脆弱性

タイトル	Fleet Device Managementのfleetにおけるスプーフィングによる認証回避に関する脆弱性
概要	Fleetはオープンソースのデバイス管理ソフトウェアです。バージョン4.80.1より前のFleetは、着信リクエストの送信元IPを判断する際に、クライアントが提供したIPアドレスヘッダーを信頼していました。これにより、認証済みおよび認証されていないクライアントが見かけ上のIPアドレスを偽装し、IPごとのレート制限を回避できていました。FleetはX-Forwarded-For、X-Real-IP、True-Client-IPなどのHTTPヘッダーを使用してクライアントの公開IPアドレスを判定しており、これらのヘッダーは検証なしで信頼されていました。攻撃者はこれらのヘッダーに任意の値を設定でき、その結果Fleetは各リクエストを異なるIPアドレスからのものとみなしてしまいます。これにより攻撃者はIPごとのレート制限を回避し、認証エンドポイントに対するブルートフォースやパスワードスプレー攻撃の効果を高められます。この問題自体では認証回避、権限昇格、データ漏洩、リモートコード実行などは発生しません。バージョン4.80.1には修正が含まれています。回避策として、信頼できるリバースプロキシやロードバランサによってクライアントIPヘッダーを上書きする環境でFleetを実行してください。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月14日0:00
登録日	2026年5月18日12:07
最終更新日	2026年5月18日12:07

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

Fleet Device Management

fleet 4.80.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-24000	https://www.cve.org/CVERecord?id=CVE-2026-24000
National Vulnerability Database (NVD)
2	CVE-2026-24000	https://nvd.nist.gov/vuln/detail/CVE-2026-24000

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-290	https://cwe.mitre.org/data/definitions/290.html

ベンダー情報

No	名前	URL
GitHub
1	Rate limiting bypass via untrusted client IP headers Advisory fleetdm/fleet GitHub	https://github.com/fleetdm/fleet/security/advisories/GHSA-j8h8-75h3-jg53

その他

No	名前	URL
関連文書
1	Release fleet-v4.80.1 fleetdm/fleet GitHub	https://github.com/fleetdm/fleet/releases/tag/fleet-v4.80.1

変更履歴

No	変更内容	変更日
1	[2026年05月18日] 掲載	2026年5月18日12:07

NVD脆弱性情報

CVE-2026-24000

概要	Fleet is open source device management software. Prior to version 4.80.1, Fleet trusted client-supplied IP address headers when determining the source IP for incoming requests. This allowed authenticated and unauthenticated clients to spoof their apparent IP address and bypass per-IP rate limiting controls. Fleet determines a client’s public IP address using HTTP headers such as X-Forwarded-For, X-Real-IP, and/or True-Client-IP. These headers were trusted without validation. An attacker could supply arbitrary values in these headers, causing Fleet to treat each request as originating from a different IP address. This could allow an attacker to bypass per-IP rate limits and increase the effectiveness of brute-force or password-spraying attempts against authentication endpoints. This issue does not allow authentication bypass, privilege escalation, data exposure, or remote code execution on its own. Version 4.80.1 contains a patch. As a workaround, run Fleet behind a trusted reverse proxy or load balancer that overwrites client IP headers.
公表日	2026年5月15日5:17
登録日	2026年5月17日4:09
最終更新日	2026年5月16日5:05

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:fleetdm:fleet::::::::					4.80.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/fleetdm/fleet/releases/tag/fleet-v4.80.1	security-advisories@github.com
2	https://github.com/fleetdm/fleet/security/advisories/GHSA-j8h8-75h3-jg53	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-290	スプーフィングによる認証回避	https://cwe.mitre.org/data/definitions/290.html