漏洞概述
Fleet 是一款开源的设备管理软件。在受影响版本中,存在一个访问控制缺陷,导致任何已认证用户(包括最低权限的“Observer”角色)均可访问调试和性能分析(debug/pprof)端点。攻击者可借此获取服务器内部运行状态、触发高资源消耗的性能分析操作,甚至可能造成拒绝服务。
漏洞详情
- CVE 编号:CVE-2026-23517
- 漏洞类型:Broken Access Control(CWE-862)
- CVSS 评分:6.3(中危)
- 影响版本:Fleet 4.78.3、4.77.1、4.76.2、4.75.2 和 4.53.3 之前的版本
影响范围
所有使用 Fleet 开源设备管理软件且版本低于以下修复版本的系统均受影响:4.78.3、4.77.1、4.76.2、4.75.2 或 4.53.3。
风险分析
由于 debug/pprof 端点未正确实施基于角色的访问控制,低权限用户可访问敏感的服务器内部信息(如运行时性能数据和内存状态),并可主动触发 CPU 密集型的性能分析操作,可能导致系统资源耗尽,引发拒绝服务(DoS)。此外,泄露的内部状态信息可能被用于进一步攻击。
修复建议
- 立即升级至官方修复版本:4.78.3、4.77.1、4.76.2、4.75.2 或 4.53.3。
- 若无法立即升级,建议通过网络层配置(如反向代理或防火墙)将 /debug/pprof 路径限制为仅允许可信 IP 地址访问,作为临时缓解措施。
