Fleet — это программное обеспечение для управления устройствами с открытым исходным кодом. До версии 4.81.0 в Fleet существовала проблема в потоке приглашения пользователя, из-за которой адрес электронной почты, указанный при принятии приглашения, не проверялся по адресу электронной почты, связанному с приглашением. Злоумышленник, получивший действительный токен приглашения, может создать учетную запись под произвольным адресом электронной почты, унаследовав при этом роль, предоставленную приглашением, включая роль глобального администратора.
Версия 4.81.0 исправляет проблему.
Показать оригинальное описание (EN)
Fleet is open source device management software. Prior to 4.81.0, Fleet contained an issue in the user invitation flow where the email address provided during invite acceptance was not validated against the email address associated with the invite. An attacker who obtained a valid invite token could create an account under an arbitrary email address while inheriting the role granted by the invite, including global admin. Version 4.81.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0