製品・ソフトウェアに関する情報
Vulnerability Search
Fleet Device Managementのfleetにおける証明書検証に関する脆弱性
Title Fleet Device Managementのfleetにおける証明書検証に関する脆弱性
Summary

Fleetはオープンソースのデバイス管理ソフトウェアです。バージョン4.81.0以前のFleetのWindows MDM管理エンドポイントには、クライアント証明書を適切に検証せずにリクエストを処理してしまう脆弱性があります。特定の場合において、攻撃者が登録済みのWindowsデバイスをなりすまし、機密性の高い構成データを取得できる可能性があります。FleetのWindows MDM管理エンドポイントは、登録済みデバイスの認証に相互TLS (mTLS)クライアント証明書を利用しています。影響を受けるバージョンでは、クライアント証明書を提示しないリクエストが誤って信頼されてしまう可能性があります。その結果、有効な登録済みデバイス識別子の事前知識を持つ攻撃者は、そのデバイスをなりすまして対象デバイス向けの構成ペイロードを受信することが可能です。これらのペイロードには、Wi-FiやVPNの構成データ、証明書、その他のMDMプロファイルを通じて配信される秘密情報が含まれる場合があります。この問題は、新しいデバイスの登録やFleetの管理者アクセス、Fleetコントロールプレーンの侵害を許すものではありません。影響は対象となるWindowsデバイスに限定されています。バージョン4.81.0で修正されました。直ちにアップグレードできない場合は、影響を受けるFleetユーザーに対し、一時的にWindows MDMを無効化することを推奨します。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 14, 2026, midnight
Registration Date May 18, 2026, 12:07 p.m.
Last Update May 18, 2026, 12:07 p.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Affected System
Fleet Device Management
fleet 4.81.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年05月18日]
  掲載		 May 18, 2026, 12:07 p.m.
NVD Vulnerability Information
CVE-2026-23998
Summary

Fleet is open source device management software. Prior to version 4.81.0, a vulnerability in Fleet’s Windows MDM management endpoint could allow requests to be processed without proper client certificate validation. In certain circumstances, this could allow an attacker to impersonate an enrolled Windows device and retrieve sensitive configuration data. Fleet’s Windows MDM management endpoint relies on mutual TLS (mTLS) client certificates to authenticate enrolled devices. In affected versions, requests that did not present a client certificate could be incorrectly treated as trusted. As a result, an attacker with prior knowledge of a valid enrolled device identifier could potentially impersonate that device and receive configuration payloads intended for it. These payloads may contain sensitive information such as Wi-Fi or VPN configuration data, certificates, or other secrets delivered through MDM profiles. This issue does not allow enrollment of new devices, administrative access to Fleet, or compromise of the Fleet control plane. Impact is limited to the targeted Windows device. Version 4.81.0 contains a patch. If an immediate upgrade is not possible, affected Fleet users should temporarily disable Windows MDM.

Publication Date May 15, 2026, 4:16 a.m.
Registration Date May 17, 2026, 4:09 a.m.
Last Update May 16, 2026, 3:08 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:* 4.81.0
Related information, measures and tools
Common Vulnerabilities List