Fleet — это программное обеспечение для управления устройствами с открытым исходным кодом. До версии 4.81.0 Fleet содержал несколько неаутентифицированных конечных точек HTTP, которые читали тела запросов без соблюдения ограничения на размер. Злоумышленник, не прошедший проверку подлинности, может воспользоваться этим поведением, отправляя большие или повторяющиеся полезные данные HTTP, вызывая чрезмерное выделение памяти и приводя к состоянию отказа в обслуживании (DoS).
Версия 4.81.0 исправляет проблему.
Показать оригинальное описание (EN)
Fleet is open source device management software. Prior to 4.81.0, Fleet contained multiple unauthenticated HTTP endpoints that read request bodies without enforcing a size limit. An unauthenticated attacker could exploit this behavior by sending large or repeated HTTP payloads, causing excessive memory allocation and resulting in a denial-of-service (DoS) condition. Version 4.81.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fleetdm Fleet
cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*
|
— |
4.81.0
|