概要
オープンソースのデバイス管理(MDM)ソフトウェア「Fleet」において、ソフトウェアインストーラーのパイプラインに RCE(リモートコード実行)脆弱性が存在する。
Fleet は管理者がソフトウェアパッケージ(.pkg、.deb、.rpm、.exe、.msi)を管理コンソールにアップロードすると、そのパッケージのメタデータを解析してアンインストールスクリプトを自動生成する機能を持つ。
影響を受けるバージョンでは、パッケージのメタデータ(バージョン文字列、名前、ベンダー情報など)が適切にサニタイズされることなく、生成されたスクリプトに直接埋め込まれる。攻撃者が悪意のある値をメタデータフィールドに埋め込んだパッケージを用意した上で Fleet にアップロードさせることができれば、管理対象のすべてのエンドポイントでアンインストール処理時に任意のコマンドが実行される。
実行権限は macOS および Linux では root、Windows では SYSTEM となる。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | Fleet 管理コンソール経由 |
| 攻撃の複雑さ(AC) | 低(L) | 特別な条件不要 |
| 必要な権限(PR) | 不要(N) | パッケージアップロード操作者の権限 |
| ユーザー操作(UI) | 不要(N) | アンインストール実行で自動的に発動 |
| スコープ(S) | 変更あり(C) | 管理対象エンドポイント全体に影響 |
| 機密性(C) | 高(H) | 管理対象端末全体のデータアクセスが可能 |
| 完全性(I) | 高(H) | 管理対象端末全体での改ざんが可能 |
| 可用性(A) | 高(H) | 管理対象端末全体の停止が可能 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Fleet | Fleet Device Management, Inc. | v4.81.0 未満 |
修正バージョンと回避策
修正バージョン: Fleet v4.81.0
即時アップグレードが困難な場合の緩和策:
- 信頼できないソースからのソフトウェアパッケージのアップロードを一時的に停止する
- 自動生成されたアンインストールスクリプトをデプロイ前に手動でレビューし、不審なコマンドが含まれていないか確認する
- Fleet 管理コンソールへのアクセスを信頼できる管理者のみに制限する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。