| Title | Fleet Device Managementのfleetにおけるスプーフィングによる認証回避に関する脆弱性 |
|---|---|
| Summary | Fleetはオープンソースのデバイス管理ソフトウェアです。バージョン4.80.1より前のFleetにはIP抽出ロジックに脆弱性があり、認証されていない攻撃者がクライアントのIPヘッダーを偽装することでAPIのレート制限を回避できます。これにより、パブリックインターネットに公開されているFleetインスタンスに対してブルートフォースログイン試行やその他の悪用が可能となります。Fleetはリクエストヘッダー(`True-Client-IP`、`X-Real-IP`、`X-Forwarded-For`)からクライアントIPアドレスを抽出していますが、これらのヘッダーが信頼できるプロキシから発信されたものであるかどうかを検証していません。抽出されたIPはレート制限およびIP禁止の決定のキーとして使用されます。その結果、攻撃者はこれらのヘッダーの値をリクエストごとに変更でき、Fleetは各試行を異なるクライアントからのものとみなします。これにより、ログインAPIなどの機密性の高いエンドポイントに対するIPごとのレート制限を実質的に回避でき、無制限のブルートフォースやクレデンシャルスタッフィング攻撃が可能となります。この問題は、転送IPヘッダーを上書きするリバースプロキシなしで直接インターネットに公開されているFleetインスタンスに主に影響します。適切に設定されたプロキシやWAFの背後にあるインスタンスへの影響は少ないです。バージョン4.80.1で修正されました。すぐにアップグレードできない場合、管理者はFleetを`X-Forwarded-For`ヘッダーを真のクライアントIPに上書きするリバースプロキシ(例:nginx、Cloudflare、AWS ALB)の背後に展開し、プロキシやWAFレイヤーでレート制限を適用することを推奨します。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 14, 2026, midnight |
| Registration Date | May 20, 2026, 1:25 p.m. |
| Last Update | May 20, 2026, 1:25 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Fleet Device Management |
| fleet 4.80.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月20日] 掲載 |
May 20, 2026, 1:25 p.m. |
| Summary | Fleet is open source device management software. Prior to version 4.80.1, a vulnerability in Fleet's IP extraction logic allows unauthenticated attackers to bypass API rate limiting by spoofing client IP headers. This may allow brute-force login attempts or other abuse against Fleet instances exposed to the public internet. Fleet extracted client IP addresses from request headers (`True-Client-IP`, `X-Real-IP`, `X-Forwarded-For`) without validating that those headers originate from a trusted proxy. The extracted IP is used as the key for rate limiting and IP ban decisions. As a result, an attacker could rotate the value of these headers on each request, causing Fleet to treat each attempt as coming from a different client. This effectively bypasses per-IP rate limits on sensitive endpoints such as the login API, enabling unrestricted brute-force or credential stuffing attacks. This issue primarily affects Fleet instances that are directly exposed to the internet without a reverse proxy that overwrites forwarded-IP headers. Instances behind a properly configured proxy or WAF are less affected. Version 4.80.1 contains a patch. If an immediate upgrade is not possible, administrators should ensure Fleet is deployed behind a reverse proxy (e.g., nginx, Cloudflare, AWS ALB) that overwrites `X-Forwarded-For` with the true client IP, and apply rate limiting at the proxy or WAF layer. |
|---|---|
| Publication Date | May 15, 2026, 5:17 a.m. |
| Registration Date | May 17, 2026, 4:09 a.m. |
| Last Update | May 19, 2026, 12:27 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:* | 4.80.1 | ||||