| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Resumen
Se ha identificado una vulnerabilidad clasificada como problemática en fleetdm fleet hasta 4.80.0. Se ve afectada una función desconocida. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esta vulnerabilidad se cataloga como CVE-2026-23999. Es posible lanzar el ataque sobre el dispositivo físico. No se encuentra disponible ningún exploit. Se aconseja actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como problemática fue encontrada en fleetdm fleet hasta 4.80.0. Una función desconocida es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esto tiene repercusión sobre la la confidencialidad. El resumen de CVE es:
Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, Fleet generaba PINs de bloqueo y borrado de dispositivos utilizando un algoritmo predecible basado únicamente en la marca de tiempo Unix actual. Debido a que no se utilizaba ninguna clave secreta o entropía adicional, el PIN resultante podría derivarse potencialmente si se conoce la hora aproximada en que se bloqueó el dispositivo. Los comandos de bloqueo y borrado de dispositivos de Fleet generan un PIN de 6 dígitos que se muestra a los administradores para desbloquear un dispositivo. En las versiones afectadas, este PIN se derivaba de forma determinista de la marca de tiempo actual. Un atacante con posesión física de un dispositivo bloqueado y conocimiento de la hora aproximada en que se emitió el comando de bloqueo podría, teóricamente, predecir el PIN correcto dentro de una ventana de búsqueda limitada. Sin embargo, la explotación exitosa está limitada por múltiples factores: Se requiere acceso físico al dispositivo, se debe conocer la hora aproximada de bloqueo, el sistema operativo impone límites de velocidad en los intentos de entrada del PIN, los intentos tendrían que distribuirse, y las operaciones de borrado del dispositivo normalmente se completarían antes de que se pudieran realizar suficientes intentos. Como resultado, este problema no permite la explotación remota, el compromiso de toda la flota o la elusión de los controles de autenticación de Fleet. La versión 4.80.1 contiene un parche. No se conocen soluciones alternativas disponibles.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-23999. Resulta fácil de explotar. El ataque debe ser hecho local. La explotación no necesita ninguna autentificación específica. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 4.80.1 elimina esta vulnerabilidad.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Producto
Proveedor
Nombre
Versión
- 4.0
- 4.1
- 4.2
- 4.3
- 4.4
- 4.5
- 4.6
- 4.7
- 4.8
- 4.9
- 4.10
- 4.11
- 4.12
- 4.13
- 4.14
- 4.15
- 4.16
- 4.17
- 4.18
- 4.19
- 4.20
- 4.21
- 4.22
- 4.23
- 4.24
- 4.25
- 4.26
- 4.27
- 4.28
- 4.29
- 4.30
- 4.31
- 4.32
- 4.33
- 4.34
- 4.35
- 4.36
- 4.37
- 4.38
- 4.39
- 4.40
- 4.41
- 4.42
- 4.43
- 4.44
- 4.45
- 4.46
- 4.47
- 4.48
- 4.49
- 4.50
- 4.51
- 4.52
- 4.53
- 4.54
- 4.55
- 4.56
- 4.57
- 4.58
- 4.59
- 4.60
- 4.61
- 4.62
- 4.63
- 4.64
- 4.65
- 4.66
- 4.67
- 4.68
- 4.69
- 4.70
- 4.71
- 4.72
- 4.73
- 4.74
- 4.75
- 4.76
- 4.77
- 4.78
- 4.79
- 4.80.0
Sitio web
- Producto: https://github.com/fleetdm/fleet/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Puntuación meta base: 3.9VulDB Puntuación meta temporal: 3.9
VulDB Puntuación base: 2.4
VulDB Puntuación temporal: 2.3
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
NVD Puntuación base: 5.5
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Cifrado débilCWE: CWE-330 / CWE-310
CAPEC: 🔒
ATT&CK: 🔒
Físico: Sí
Local: Sí
Remoto: No
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: fleet 4.80.1
Línea de tiempo
2026-01-19 CVE asignado2026-02-26 Aviso publicado
2026-02-26 Entrada de VulDB creada
2026-03-03 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-ppwx-5jq7-px2w
Estado: Confirmado
CVE: CVE-2026-23999 (🔒)
GCVE (CVE): GCVE-0-2026-23999
GCVE (VulDB): GCVE-100-347933
Artículo
Fecha de creación: 2026-02-26 07:11Actualizado: 2026-03-03 10:14
Cambios: 2026-02-26 07:11 (68), 2026-03-03 10:14 (13)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.