概要
オープンソースのデバイス管理ソフトウェアであるFleetにおいて、チーム管理者が他のチームに属する証明書テンプレートを一括削除できる認証バイパスの脆弱性(CVE-2026-25963)が報告されました。
この問題は、Fleetの証明書テンプレート削除APIにおける認証チェックの不備に起因します。影響を受けるバージョンでは、一括削除のエンドポイントがユーザーから提供されたチーム識別子に基づいて認証を検証するものの、実際に削除対象となる証明書テンプレートIDがそのチームに属しているかを確認していませんでした。
影響範囲
- Fleetのバージョン 4.80.1 未満
想定される影響
この脆弱性が悪用された場合、チーム管理者は、自身が管理するチーム以外の証明書テンプレートを削除する可能性があります。これにより、影響を受けるチームの証明書ベースのワークフロー(例:デバイス登録、Wi-Fi認証、VPNアクセスなど)に混乱が生じ、サービスの中断につながる恐れがあります。
報告によると、この問題は特権昇格や機密データへのアクセス、Fleetの制御プレーンの侵害を許すものではなく、影響はチーム間の証明書テンプレートの整合性と可用性に限定されるとされています。
攻撃成立条件・悪用状況
この脆弱性は、同じFleetインスタンス内で、チーム管理者権限を持つユーザーによって悪用される可能性があります。現在のところ、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策(優先度付き)
今すぐできる対策
- Fleetのアップグレード: 脆弱性が修正されたバージョン 4.80.1 以降に速やかにアップグレードしてください。
一時的な緩和策
- アクセス制限の強化: 証明書テンプレートの管理機能へのアクセスを、信頼できる必要最小限のユーザーに限定してください。
- チーム管理者権限の厳格化: 厳密に必要とされない限り、チーム管理者権限の委譲を避けてください。
確認方法
現在ご利用のFleetのバージョンを確認し、バージョン 4.80.1 未満である場合は、本脆弱性の影響を受ける可能性があります。