CVE-2026-27465

Nome do Software Vulnerável e Versões Afetadas Versões do Fleet anteriores a 4.80.1

Descrição A API de configuração do Fleet poderia expor credenciais de conta de serviço do Google Calendar a usuários autenticados com funções de baixo privilégio. Isso pode permitir acesso não autorizado a recursos do Google Calendar associados à conta de serviço. O software retorna dados de configuração através de um endpoint da API, acessível a usuários autenticados, incluindo aqueles com a função "Observer". Nas versões afetadas, as credenciais da conta de serviço do Google Calendar não eram devidamente ofuscadas antes de serem retornadas, permitindo que um usuário de baixo privilégio recuperasse o material da chave privada da conta de serviço. Isso poderia permitir acesso não autorizado a dados do calendário ou outros recursos do Google Workspace associados à conta de serviço. O problema não permite escalonamento de privilégios dentro do Fleet ou acesso à funcionalidade de gerenciamento de dispositivos. O endpoint da API vulnerável expõe as credenciais.

Recomendações Atualize para a versão 4.80.1 ou posterior. Se uma atualização imediata não for possível, remova a integração do Google Calendar do Fleet e rotacione as credenciais da conta de serviço do Google afetadas.