CVE-2026-24899— Fleet 安全漏洞

AI 预测 9.8 利用难度: 较易 EPSS 0.05% · P16 更新于 2026-05-16

可能的 ATT&CK 技术 2AI

T1078 · Valid Accounts T1190 · Exploit Public-Facing Application

影响版本矩阵 1

厂商	产品	版本范围	状态
fleetdm	fleet	`< 4.82.0`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-24899 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Fleet Windows MDM Azure AD JWT Authentication Bypass

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Fleet is open source device management software. Prior to version 4.82.0, a vulnerability in Fleet's Windows MDM enrollment flow allows authentication tokens from any Azure AD tenant to be accepted. Because Fleet validates JWT signatures using Microsoft's multi-tenant JWKS endpoint but does not enforce the `aud` (audience) or `iss` (issuer) claims, any Microsoft-signed Azure AD access token containing the expected scopes can be used to authenticate to Fleet's MDM endpoints. If Windows MDM is enabled, an attacker with access to any Azure AD tenant can obtain a valid Microsoft-signed token and use it to enroll unauthorized devices and interact with Fleet's MDM management APIs. During device management, Fleet may expose sensitive enrollment secrets embedded in MDM command payloads, enabling further unauthorized access. Version 4.82.0 contains a patch. If an immediate upgrade is not possible, affected Fleet users should temporarily disable Windows MDM.

来源: 美国国家漏洞数据库 NVD

CVSS Information

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

使用欺骗进行的认证绕过

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Fleet 安全漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Fleet是Fleet Device Management开源的一个设备管理平台，支持多种操作系统和设备，帮助 IT 和安全团队进行设备管理、漏洞报告、MDM 等操作。 Fleet 4.82.0之前版本存在安全漏洞，该漏洞源于Windows MDM注册流程接受来自任何Azure AD租户的身份验证令牌，未强制执行aud或iss声明，可能导致攻击者使用任何Microsoft签名的Azure AD访问令牌注册未授权设备并访问MDM管理API。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
fleetdm	fleet	< 4.82.0	-

二、漏洞 CVE-2026-24899 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-24899 的情报信息

请登录查看更多情报信息。

https://github.com/fleetdm/fleet/releases/tag/fleet-v4.82.0x_refsource_MISC
https://github.com/fleetdm/fleet/security/advisories/GHSA-ffg9-j72f-j6xmx_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2026-24899

同批安全公告 · fleetdm · 2026-05-14 · 共 6 条

CVE-2026-26062		Fleet 输入验证错误漏洞
CVE-2026-26191		Fleet 操作系统命令注入漏洞
CVE-2026-24000		Fleet 安全漏洞
CVE-2026-46356		Fleet 安全漏洞
CVE-2026-23998		Fleet 信任管理问题漏洞

IV. Related Vulnerabilities

Same product: fleet

Same vendor: fleetdm

Same weakness: CWE-290

V. Comments for CVE-2026-24899

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-24899— Fleet 安全漏洞

可能的 ATT&CK 技术 2AI

影响版本矩阵 1

一、漏洞 CVE-2026-24899 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-24899 的公开POC

三、漏洞 CVE-2026-24899 的情报信息

同批安全公告 · fleetdm · 2026-05-14 · 共 6 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-24899

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-24899— Fleet 安全漏洞

可能的 ATT&CK 技术 2AI

影响版本矩阵 1

一、 漏洞 CVE-2026-24899 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-24899 的公开POC

三、漏洞 CVE-2026-24899 的情报信息

同批安全公告 · fleetdm · 2026-05-14 · 共 6 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-24899

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-24899 基础信息