CVE-2026-25963

Nome do Software Vulnerável e Versões Afetadas Versões do Fleet anteriores à 4.80.1

Descrição A API de exclusão de modelos de certificado do Fleet possuía uma verificação de autorização incorreta. Isso permitiu que um administrador de equipe excluísse modelos de certificado pertencentes a outras equipes dentro da mesma instância do Fleet. O problema originou-se de uma falha de validação no endpoint de exclusão em lote, onde o sistema utilizava um identificador de equipe fornecido pelo usuário sem verificar se os IDs dos modelos de certificado a serem excluídos pertenciam de fato àquela equipe. Isso poderia interromper fluxos de trabalho baseados em certificados, incluindo o registro de dispositivos, autenticação Wi-Fi, acesso a VPN e outras configurações dependentes de certificados. O impacto se limita à integridade e à disponibilidade dos modelos de certificado entre equipes.

Recomendações Atualize para a versão 4.80.1 ou posterior do Fleet. Restrinja o acesso à gestão de modelos de certificado somente a usuários confiáveis. Evite delegar permissões de administrador de equipe quando não forem estritamente necessárias.