Fleet is open source device management software. Prior to version 4.80.1, Fleet trusted client-supplied IP address headers when determining the source IP for incoming requests. This allowed authenticated and unauthenticated clients to spoof their apparent IP address and bypass per-IP rate limiting controls. Fleet determines a client’s public IP address using HTTP headers such as X-Forwarded-For, X-Real-IP, and/or True-Client-IP. These headers were trusted without validation. An attacker could supply arbitrary values in these headers, causing Fleet to treat each request as originating from a different IP address. This could allow an attacker to bypass per-IP rate limits and increase the effectiveness of brute-force or password-spraying attempts against authentication endpoints. This issue does not allow authentication bypass, privilege escalation, data exposure, or remote code execution on its own. Version 4.80.1 contains a patch. As a workaround, run Fleet behind a trusted reverse proxy or load balancer that overwrites client IP headers.
Fleet device management software prior to version 4.80.1 trusts unsanitized client-supplied IP address headers, allowing attackers to spoof their source IP and bypass per-IP rate limiting controls. This vulnerability enables brute-force and password-spraying attacks against authentication endpoints without proper rate limit enforcement.
يسمح هذا الثغرة الأمنية للمهاجمين المصرح لهم وغير المصرح لهم بتزييف عنوان IP الخاص بهم من خلال توفير قيم تعسفية في رؤوس HTTP مثل X-Forwarded-For و X-Real-IP و True-Client-IP. يؤدي هذا إلى معاملة كل طلب على أنه يأتي من عنوان IP مختلف، مما يسمح بتجاوز عناصر التحكم في تحديد المعدل لكل IP وتعزيز فعالية هجمات القوة الغاشمة.
برنامج Fleet لإدارة الأجهزة قبل الإصدار 4.80.1 يثق برؤوس عناوين IP التي يوفرها العميل دون التحقق، مما يسمح للمهاجمين بتزييف عنوان IP الخاص بهم وتجاوز عناصر التحكم في تحديد المعدل لكل IP. يمكن لهذا الثغرة الأمنية تمكين هجمات القوة الغاشمة وهجمات رش كلمات المرور ضد نقاط نهاية المصادقة.
Update Fleet to version 4.80.1 or later immediately. Implement proper validation of X-Forwarded-For, X-Real-IP, and True-Client-IP headers by configuring trusted proxy settings. Deploy network-level rate limiting independent of client-supplied headers. Monitor authentication logs for suspicious patterns indicating IP spoofing attempts.
قم بتحديث Fleet إلى الإصدار 4.80.1 أو أحدث على الفور. قم بتنفيذ التحقق الصحيح من رؤوس X-Forwarded-For و X-Real-IP و True-Client-IP من خلال تكوين إعدادات الوكيل الموثوق. نشر تحديد معدل على مستوى الشبكة بشكل مستقل عن رؤوس العميل المزودة. مراقبة سجلات المصادقة للأنماط المريبة التي تشير إلى محاولات تزييف عنوان IP.