Fleet is open source device management software. A broken access control issue in versions prior to 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3 allowed authenticated users to access debug and profiling endpoints regardless of role. As a result, low-privilege users could view internal server diagnostics and trigger resource-intensive profiling operations. Fleet’s debug/pprof endpoints are accessible to any authenticated user regardless of role, including the lowest-privilege “Observer” role. This allows low-privilege users to access sensitive server internals, including runtime profiling data and in-memory application state, and to trigger CPU-intensive profiling operations that could lead to denial of service. Versions 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3 fix the issue. If an immediate upgrade is not possible, users should put the debug/pprof endpoints behind an IP allowlist as a workaround.
CVE-2026-23517 is a broken access control vulnerability in Fleet device management software affecting versions prior to 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3. Authenticated low-privilege users can access debug and profiling endpoints, exposing sensitive server internals and enabling denial-of-service attacks through resource-intensive operations. This vulnerability poses significant risk to organizations managing critical infrastructure and endpoints across Saudi Arabia's government and enterprise sectors.
IMMEDIATE ACTIONS:
1. Identify all Fleet instances in your environment and document current versions
2. Restrict network access to debug/pprof endpoints (/debug/*, /debug/pprof/*) using IP allowlisting at firewall/WAF level
3. Review audit logs for unauthorized access to debug endpoints by low-privilege accounts
4. Disable debug endpoints entirely if not required for operations
PATCHING:
1. Upgrade to patched versions: 4.78.3, 4.77.1, 4.76.2, 4.75.2, or 4.53.3 immediately
2. Test patches in non-production environment first
3. Schedule maintenance windows for production upgrades
4. Verify role-based access control enforcement post-upgrade
COMPENSATING CONTROLS (if immediate patch unavailable):
1. Implement reverse proxy with strict authentication for /debug/* paths
2. Deploy WAF rules blocking debug endpoint access except from authorized IPs
3. Monitor for suspicious access patterns to debug endpoints
4. Implement rate limiting on profiling operations
DETECTION:
1. Monitor logs for requests to /debug/pprof/* endpoints from non-admin accounts
2. Alert on multiple profiling requests within short timeframes (potential DoS)
3. Track access by role: flag any Observer or Enroller role accessing debug endpoints
4. Correlate debug endpoint access with privilege escalation attempts
الإجراءات الفورية:
1. حدد جميع مثيلات Fleet في بيئتك وتوثيق الإصدارات الحالية
2. قيد الوصول إلى نقاط نهاية التصحيح (/debug/*, /debug/pprof/*) باستخدام قائمة IP البيضاء على مستوى جدار الحماية
3. راجع سجلات التدقيق للوصول غير المصرح به إلى نقاط نهاية التصحيح من قبل الحسابات منخفضة الامتيازات
4. عطّل نقاط نهاية التصحيح بالكامل إذا لم تكن مطلوبة للعمليات
التصحيح:
1. قم بالترقية إلى الإصدارات المصححة: 4.78.3 أو 4.77.1 أو 4.76.2 أو 4.75.2 أو 4.53.3 فوراً
2. اختبر التصحيحات في بيئة غير الإنتاج أولاً
3. جدول نوافذ الصيانة لترقيات الإنتاج
4. تحقق من تطبيق التحكم في الوصول القائم على الأدوار بعد الترقية
الضوابط البديلة:
1. تطبيق وكيل عكسي مع مصادقة صارمة لمسارات /debug/*
2. نشر قواعد WAF تحظر الوصول إلى نقاط نهاية التصحيح باستثناء عناوين IP المصرح بها
3. مراقبة أنماط الوصول المريبة إلى نقاط نهاية التصحيح
4. تطبيق تحديد معدل على عمليات التنميط
الكشف:
1. مراقبة السجلات للطلبات إلى نقاط نهاية /debug/pprof/* من حسابات غير المسؤول
2. تنبيه على طلبات التنميط المتعددة في فترات زمنية قصيرة
3. تتبع الوصول حسب الدور: علم أي دور Observer أو Enroller يصل إلى نقاط نهاية التصحيح
4. ربط الوصول إلى نقاط نهاية التصحيح بمحاولات تصعيد الامتيازات