CVE-2026-25963 in fleetinfo

Zusammenfassung

von VulDB • 22.06.2026

Fleet ist eine Open-Source-Software zur Geräteverwaltung. In Versionen vor 4.80.1 konnte ein fehlerhafter Autorisierungscheck in der API zum Löschen von Zertifikatvorlagen in Fleet einem Teamadministrator ermöglichen, Zertifikatvorlagen zu löschen, die anderen Teams innerhalb derselben Fleet-Instanz gehören. Fleet unterstützt Zertifikatvorlagen, die auf einzelne Teams beschränkt sind. In den betroffenen Versionen validierte der Batch-Löschendpunkt die Autorisierung anhand einer vom Benutzer bereitgestellten Teamkennung, überprüfte jedoch nicht, ob die zu löschenden IDs von Zertifikatvorlagen tatsächlich diesem Team gehörten. Als Ergebnis konnte ein Teamadministrator Zertifikatvorlagen löschen, die mit anderen Teams verknüpft waren, was potenziell zertifikatsbasierte Workflows wie Geräteanmeldung (Device Enrollment), Wi-Fi-Authentifizierung, VPN-Zugriff oder andere von Zertifikaten abhängige Konfigurationen für die betroffenen Teams stören könnte. Dieses Problem ermöglicht keine Privilegieneskalation, keinen Zugriff auf sensible Daten und keine Kompromittierung der Steuerungsebene (Control Plane) von Fleet. Die Auswirkungen beschränken sich auf Integrität und Verfügbarkeit von Zertifikatvorlagen über verschiedene Teams hinweg. Version 4.80.1 behebt das Problem. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Administratoren den Zugriff auf die Verwaltung von Zertifikatvorlagen auf vertrauenswürdige Benutzer einschränken und vermeiden, Teamadministratorberechtigungen dort zu delegieren, wo sie nicht strikt erforderlich sind.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

09.02.2026

Veröffentlichung

26.02.2026

Moderieren

akzeptiert

Eintrag

VDB-347930

CPE

bereit

EPSS

0.00191

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!