CVE-2026-23517

Nome do Software Vulnerável e Versões Afetadas Versões do Fleet anteriores a 4.53.3 Versões do Fleet de 4.53.3 a 4.75.2 Versões do Fleet de 4.75.2 a 4.76.2 Versões do Fleet de 4.76.2 a 4.77.1 Versões do Fleet de 4.77.1 a 4.78.3

Descrição O Fleet, um software de gerenciamento de dispositivos de código aberto, possui um problema com controle de acesso. Usuários autenticados, mesmo aqueles com privilégios limitados, poderiam acessar endpoints de debug e profiling sem a devida autorização. Isso permitia o acesso a diagnósticos internos do servidor e a capacidade de iniciar operações de profiling intensivas em recursos. Especificamente, os endpoints debug/pprof estavam acessíveis a todos os usuários autenticados, incluindo aqueles com a função "Observer". Este acesso fornecia visibilidade sobre componentes internos sensíveis do servidor, como dados de profiling de runtime e estado da aplicação em memória, e habilitava o acionamento de operações de profiling intensivas em CPU que poderiam potencialmente causar uma negação de serviço.

Recomendações As versões do Fleet anteriores a 4.53.3 devem ser atualizadas para uma versão corrigida. As versões do Fleet de 4.53.3 a 4.75.2 devem ser atualizadas para uma versão corrigida. As versões do Fleet de 4.75.2 a 4.76.2 devem ser atualizadas para uma versão corrigida. As versões do Fleet de 4.76.2 a 4.77.1 devem ser atualizadas para uma versão corrigida. As versões do Fleet de 4.77.1 a 4.78.3 devem ser atualizadas para uma versão corrigida. Se uma atualização imediata não for possível, implemente uma lista de permissão de IP para os endpoints debug/pprof.