CVE-2026-22808

Nome do Software Vulnerável e Versões Afetadas Versões do Fleet anteriores a 4.78.2 Versões do Fleet de 4.53.3 a 4.77.1 Versões do Fleet 4.75.2 Versões do Fleet 4.76.2

Descrição O Fleet, um software de gerenciamento de dispositivos de código aberto, apresenta uma vulnerabilidade de cross-site scripting (XSS) em seu fluxo de autenticação do Windows MDM. Um atacante não autenticado pode explorar essa vulnerabilidade criando um link malicioso e enganando um usuário do Fleet para clicar nele. A exploração bem-sucedida permite que o atacante roube o token de autenticação do usuário (FLEET::auth token) do localStorage do navegador. Isso pode conceder acesso não autorizado ao Fleet, incluindo privilégios administrativos, visibilidade dos dados dos dispositivos e a capacidade de modificar configurações. Em alguns casos, o atacante pode implantar scripts em dispositivos gerenciados. O Fleet gerencia milhões de endpoints em ambientes empresariais. A vulnerabilidade está presente quando o Windows MDM está habilitado.

Recomendações Atualize para a versão 4.78.2 do Fleet ou superior. Atualize para a versão 4.77.1 do Fleet. Atualize para a versão 4.76.2 do Fleet. Atualize para a versão 4.75.2 do Fleet. Se uma atualização imediata não for possível, desative temporariamente o Windows MDM.