CVE-2026-26060— Fleet 代码问题漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-26060の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Fleet: Password reset tokens remain valid after password change for 24 hours
ソース: NVD (National Vulnerability Database)
脆弱性説明
Fleet is open source device management software. Prior to 4.81.0, a vulnerability in Fleet’s password management logic could allow previously issued password reset tokens to remain valid after a user changes their password. As a result, a stale password reset token could be reused to reset the account password even after a defensive password change. Version 4.81.0 patches the issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
不充分的会话过期机制
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Fleet 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Fleet是Fleet Device Management开源的一个设备管理平台,支持多种操作系统和设备,帮助 IT 和安全团队进行设备管理、漏洞报告、MDM 等操作。 Fleet 4.81.0之前版本存在代码问题漏洞,该漏洞源于密码管理逻辑问题,可能导致旧密码重置令牌在用户更改密码后仍然有效。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-26060の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-26060のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · fleetdm · 2026-03-27 · 9 CVEs total
| CVE-2026-26061 | Fleet's unbounded request body read allows remote Denial of Service | |
| CVE-2026-29180 | Fleet's team maintainer can transfer hosts from any team via missing source team authoriza | |
| CVE-2026-34386 | Fleet vulnerable to SQL injection in MDM bootstrap package by authenticated team or globa | |
| CVE-2026-34385 | Fleet's Apple MDM profile delivery has second-order SQL injection that can compromise the | |
| CVE-2026-34387 | Fleet vulnerable to OS command injection via crafted software package metadata in uninstal | |
| CVE-2026-34388 | Fleet vulnerable to Denial of Service via unhandled gRPC log type in launcher endpoint | |
| CVE-2026-34391 | Fleet Vulnerable to Windows MDM cross-device command disclosure | |
| CVE-2026-34389 | Fleet's user account creation via invite does not enforce invited email address |
IV. 関連脆弱性
同じ製品: fleet
- CVE-2026-27806
Fleet Affected by Local Privilege Escalation via Tcl Command - CVE-2026-34391
Fleet Vulnerable to Windows MDM cross-device command disclos - CVE-2026-34389
Fleet's user account creation via invite does not enforce in - CVE-2026-34388
Fleet vulnerable to Denial of Service via unhandled gRPC log - CVE-2026-34387
Fleet vulnerable to OS command injection via crafted softwar
同じベンダー: fleetdm
- CVE-2026-27806
Fleet Affected by Local Privilege Escalation via Tcl Command - CVE-2026-34391
Fleet Vulnerable to Windows MDM cross-device command disclos - CVE-2026-34389
Fleet's user account creation via invite does not enforce in - CVE-2026-34388
Fleet vulnerable to Denial of Service via unhandled gRPC log - CVE-2026-34387
Fleet vulnerable to OS command injection via crafted softwar
同じ弱点: CWE-613
- CVE-2026-41902
FreeScout's user invitation hash never expires: permanent un - CVE-2026-41519
Weblate's API Token Not Invalidated on Password Change - CVE-2026-41891
CI4MS: Deactivated User Session Bypass (active=0) - CVE-2026-40934
jupyter-server authentication cookies remain valid after pas - CVE-2026-42421
OpenClaw < 2026.4.8 - WebSocket Session Persistence via Shar
V. CVE-2026-26060へのコメント
まだコメントはありません