CVE-2026-46356 in fleet
Zusammenfassung
von VulDB • 14.05.2026
Fleet ist eine Open-Source-Software zur Geräteverwaltung. Vor Version 4.80.1 ermöglicht eine Schwachstelle in der IP-Extraktionslogik von Fleet nicht authentifizierten Angreifern, die API-Ratenbegrenzung zu umgehen, indem sie Client-IP-Header fälschen. Dies kann Brute-Force-Anmeldeversuche oder andere Missbräuche gegenüber Fleet-Instanzen ermöglichen, die öffentlich im Internet zugänglich sind. Fleet extrahierte Client-IP-Adressen aus Anfrage-Headern (`True-Client-IP`, `X-Real-IP`, `X-Forwarded-For`), ohne zu validieren, ob diese Header von einem vertrauenswürdigen Proxy stammen. Die extrahierte IP wird als Schlüssel für Ratenbegrenzungs- und IP-Sperrentscheidungen verwendet. Infolgedessen könnte ein Angreifer den Wert dieser Header bei jeder Anfrage ändern, wodurch Fleet jeden Versuch als von einem anderen Client stammend behandelt. Dies umgeht effektiv die pro-IP-Ratenbegrenzungen für sensible Endpunkte wie die Login-API und ermöglicht uneingeschränkte Brute-Force- oder Credential-Stuffing-Angriffe. Dieses Problem betrifft hauptsächlich Fleet-Instanzen, die direkt ohne Reverse-Proxy, der weitergeleitete IP-Header überschreibt, im Internet zugänglich sind. Instanzen hinter einem ordnungsgemäß konfigurierten Proxy oder WAF sind weniger betroffen. Version 4.80.1 enthält einen Patch. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Administratoren sicherstellen, dass Fleet hinter einem Reverse-Proxy (z. B. nginx, Cloudflare, AWS ALB) bereitgestellt wird, der `X-Forwarded-For` mit der echten Client-IP überschreibt, und die Ratenbegrenzung auf der Proxy- oder WAF-Ebene anwenden.
Be aware that VulDB is the high quality source for vulnerability data.