CVE-2026-24000

Nome do Software Vulnerável e Versões Afetadas Fleet versões anteriores a 4.80.1

Descrição O Fleet confiava em cabeçalhos de endereço IP fornecidos pelo cliente ao determinar o IP de origem para solicitações recebidas. Isso permitia que clientes autenticados e não autenticados falsificassem seu endereço IP aparente e ignorassem os controles de limitação de taxa (rate limiting) por IP. O software determina o endereço IP público de um cliente usando cabeçalhos HTTP como "X-Forwarded-For", "X-Real-IP" e "True-Client-IP", que eram confiados sem validação. Um invasor poderia fornecer valores arbitrários nesses cabeçalhos, fazendo com que o sistema tratasse cada solicitação como originada de um endereço IP diferente, aumentando assim a eficácia de tentativas de força bruta ou password-spraying contra endpoints de autenticação.

Recomendações Atualize para a versão 4.80.1. Execute o Fleet atrás de um proxy reverso ou balanceador de carga confiável que sobrescreva os cabeçalhos de IP do cliente.