CVE-2026-24899

Nome do Software Vulnerável e Versões Afetadas Fleet versões anteriores a 4.82.0

Descrição Uma falha no fluxo de inscrição do Windows MDM permite que tokens de autenticação de qualquer locatário (tenant) do Azure AD sejam aceitos. O software valida as assinaturas JWT (JSON Web Token) usando o endpoint JWKS multi-tenant da Microsoft, mas não impõe as reivindicações aud (audience) ou iss (issuer). Consequentemente, qualquer token de acesso do Azure AD assinado pela Microsoft que contenha os escopos esperados pode ser usado para se autenticar nos endpoints de MDM. Um invasor com acesso a qualquer locatário do Azure AD pode usar um token válido para inscrever dispositivos não autorizados e interagir com as APIs de gerenciamento de MDM. Além disso, segredos de inscrição sensíveis incorporados em cargas úteis de comandos MDM podem ser expostos durante o gerenciamento de dispositivos, permitindo acesso não autorizado adicional.

Recomendações Atualize para a versão 4.82.0. Como solução temporária, desative o Windows MDM.