CVE-2026-26191 in fleet
요약
\~에 의해 VulDB • 2026. 05. 30.
Fleet는 오픈 소스 디바이스 관리 소프트웨어입니다. 버전 4.81.0 이전의 Fleet 소프트웨어 설치 파이프라인에는 취약점이 존재하여, 제거(uninstall) 작업이 트리거될 때 조작된 소프트웨어 패키지가 관리 대상 엔드포인트에서 루트(macOS/Linux) 또는 SYSTEM(Windows) 권한으로 임의 명령을 실행할 수 있습니다. 소프트웨어 패키지(.pkg, .deb, .rpm, .exe 또는 .msi)가 Fleet에 업로드되면 패키지 바이너리에서 메타데이터가 추출되어 제거 스크립트 생성에 사용됩니다. 영향을 받는 버전에서는 생성된 스크립트에 포함되기 전에 이러한 메타데이터가 적절하게 sanitization되지 않습니다. 메타데이터 필드에 악의적인 값을 포함하는 특별히 조작된 패키지는 관리 대상 엔드포인트에서 제거 스크립트가 실행될 때 의도하지 않은 명령 실행을 초래할 수 있습니다. 버전 4.81.0에는 패치가 포함되어 있습니다. 즉각적인 업그레이드가 불가능한 경우, 관리자는 신뢰할 수 없거나 검증되지 않은 출처에서 얻은 소프트웨어 패키지를 업로드하지 않아야 합니다. 또한 관리자는 배포 전에 자동으로 생성된 제거 스크립트를 수동으로 검사하고 편집할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.