Fleet — это программное обеспечение для управления устройствами с открытым исходным кодом. До версии 4.81.0 уязвимость в логике управления паролями Fleet могла позволить ранее выданным токенам сброса пароля оставаться действительными после того, как пользователь меняет свой пароль. В результате устаревший токен сброса пароля может быть повторно использован для сброса пароля учетной записи даже после смены защитного пароля.
Версия 4.81.0 исправляет проблему.
Показать оригинальное описание (EN)
Fleet is open source device management software. Prior to 4.81.0, a vulnerability in Fleet’s password management logic could allow previously issued password reset tokens to remain valid after a user changes their password. As a result, a stale password reset token could be reused to reset the account password even after a defensive password change. Version 4.81.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fleetdm Fleet
cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*
|
— |
4.81.0
|