CVE-2026-26186

Nome do Software Vulnerável e Versões Afetadas Versões do Fleet anteriores à 4.80.1

Descrição O Fleet é um software de gerenciamento de dispositivos de código aberto. Existe uma vulnerabilidade de injeção de SQL devido ao uso inseguro de goqu.I() ao construir a cláusula ORDER BY. Isso permite que usuários autenticados injetem expressões SQL arbitrárias através do parâmetro de consulta order key. Um atacante autenticado com acesso ao endpoint afetado poderia injetar expressões SQL na consulta MySQL subjacente. Embora a injeção ocorra em um contexto de ORDER BY, ela é suficiente para habilitar técnicas de injeção de SQL às cegas que podem revelar informações do banco de dados através de expressões condicionais que afetam a ordenação dos resultados. Expressões manipuladas também podem causar processamento excessivo ou falhas na consulta, potencialmente levando à degradação do desempenho ou negação de serviço. O parâmetro vulnerável é order key.

Recomendações Atualize para a versão 4.80.1 ou posterior do Fleet. Se uma atualização imediata não for possível, restrinja o acesso ao endpoint afetado apenas a funções confiáveis. Garanta que quaisquer parâmetros de ordenação ou de coluna fornecidos pelo usuário sejam estritamente validados por uma lista de permissões na camada de aplicação ou de proxy.