CVE-2026-46356

Nome do Software Vulnerável e Versões Afetadas Fleet versões anteriores a 4.80.1

Description Um problema na lógica de extração de IP permite que atacantes não autenticados ignorem a limitação de taxa (rate limiting) da API através da falsificação de cabeçalhos de IP do cliente. O software extrai endereços IP de clientes de cabeçalhos de requisição (True-Client-IP, X-Real-IP, X-Forwarded-For) sem validar se eles originam de um proxy confiável. Como o IP extraído é usado como chave para decisões de limitação de taxa e banimento de IP, um atacante pode rotacionar os valores desses cabeçalhos para fazer com que cada requisição pareça vir de um cliente diferente. Isso possibilita ataques de força bruta ou preenchimento de credenciais (credential stuffing) irrestritos contra endpoints sensíveis, como a API de login. Isso afeta principalmente instâncias expostas à internet pública sem um proxy reverso que sobrescreva os cabeçalhos de IP encaminhados.

Recommendations Atualizar para a versão 4.80.1. Implantar o software atrás de um proxy reverso que sobrescreva o X-Forwarded-For com o IP real do cliente e aplicar a limitação de taxa na camada do proxy ou WAF.