Fleet — это программное обеспечение для управления устройствами с открытым исходным кодом. До версии 4.81.1 уязвимость контроля доступа в API передачи хостов Fleet позволяла специалисту по обслуживанию команды передавать хосты из любой команды в свою собственную команду, минуя границы изоляции команды. После передачи злоумышленник получает полный контроль над украденными хостами, включая возможность выполнять скрипты с правами root.
Версия 4.81.1 исправляет проблему.
Показать оригинальное описание (EN)
Fleet is open source device management software. Prior to 4.81.1, a broken access control vulnerability in Fleet's host transfer API allows a team maintainer to transfer hosts from any team into their own team, bypassing team isolation boundaries. Once transferred, the attacker gains full control over the stolen hosts, including the ability to execute scripts with root privileges. Version 4.81.1 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fleetdm Fleet
cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*
|
— |
4.81.1
|