Fleet is open source device management software. Prior to version 4.80.1, a vulnerability in Fleet's IP extraction logic allows unauthenticated attackers to bypass API rate limiting by spoofing client IP headers. This may allow brute-force login attempts or other abuse against Fleet instances exposed to the public internet. Fleet extracted client IP addresses from request headers (`True-Client-IP`, `X-Real-IP`, `X-Forwarded-For`) without validating that those headers originate from a trusted proxy. The extracted IP is used as the key for rate limiting and IP ban decisions. As a result, an attacker could rotate the value of these headers on each request, causing Fleet to treat each attempt as coming from a different client. This effectively bypasses per-IP rate limits on sensitive endpoints such as the login API, enabling unrestricted brute-force or credential stuffing attacks. This issue primarily affects Fleet instances that are directly exposed to the internet without a reverse proxy that overwrites forwarded-IP headers. Instances behind a properly configured proxy or WAF are less affected. Version 4.80.1 contains a patch. If an immediate upgrade is not possible, administrators should ensure Fleet is deployed behind a reverse proxy (e.g., nginx, Cloudflare, AWS ALB) that overwrites `X-Forwarded-For` with the true client IP, and apply rate limiting at the proxy or WAF layer.
CVE-2026-46356 is a high-severity vulnerability in Fleet device management software that allows unauthenticated attackers to bypass API rate limiting by spoofing client IP headers. This enables unrestricted brute-force attacks against login endpoints and other sensitive APIs. Organizations running unpatched Fleet instances exposed to the internet face immediate risk of credential compromise and unauthorized access to managed devices.
IMMEDIATE ACTIONS:
1. Identify all Fleet instances in your environment and determine if they are directly exposed to the internet or behind a reverse proxy
2. Check Fleet version: instances running versions prior to 4.80.1 are vulnerable
3. Review authentication logs for suspicious login attempts with varying IP addresses
4. Implement emergency rate limiting at the WAF/proxy layer if not already present
PATCHING GUIDANCE:
1. Upgrade Fleet to version 4.80.1 or later immediately
2. Test the upgrade in a staging environment first
3. Verify rate limiting functionality post-upgrade
COMPENSATING CONTROLS (if immediate upgrade not possible):
1. Deploy Fleet behind a reverse proxy (nginx, Cloudflare, AWS ALB, Azure Application Gateway) that:
- Overwrites X-Forwarded-For header with true client IP
- Implements strict rate limiting (e.g., 5 failed login attempts per IP per 15 minutes)
- Validates and strips untrusted forwarded-IP headers
2. Configure WAF rules to block requests with suspicious header patterns
3. Implement IP-based access controls restricting Fleet access to known administrative networks
4. Enable MFA on all Fleet administrative accounts
5. Monitor for brute-force patterns in authentication logs
DETECTION RULES:
1. Alert on multiple failed login attempts from different IPs within short time windows from same user account
2. Monitor for requests with conflicting IP headers (True-Client-IP vs X-Forwarded-For mismatch)
3. Track login attempts with rapidly rotating X-Forwarded-For values
4. Alert on authentication failures exceeding 10 attempts per minute per endpoint
5. Monitor for requests originating from non-proxy sources with forwarded-IP headers present
الإجراءات الفورية:
1. حدد جميع نسخ Fleet في بيئتك وحدد ما إذا كانت مكشوفة مباشرة على الإنترنت أو خلف وكيل عكسي
2. تحقق من إصدار Fleet: النسخ التي تعمل بإصدارات سابقة للإصدار 4.80.1 معرضة للخطر
3. راجع سجلات المصادقة للبحث عن محاولات تسجيل دخول مريبة بعناوين IP مختلفة
4. تطبيق حد معدل الطوارئ على طبقة WAF/الوكيل إن لم يكن موجوداً بالفعل
إرشادات التصحيح:
1. قم بترقية Fleet إلى الإصدار 4.80.1 أو أحدث على الفور
2. اختبر الترقية في بيئة التدريج أولاً
3. تحقق من وظيفة حد المعدل بعد الترقية
الضوابط البديلة (إذا لم تكن الترقية الفورية ممكنة):
1. نشر Fleet خلف وكيل عكسي (nginx أو Cloudflare أو AWS ALB أو Azure Application Gateway) الذي:
- يستبدل رأس X-Forwarded-For بعنوان IP الحقيقي للعميل
- ينفذ حد معدل صارم (على سبيل المثال، 5 محاولات تسجيل دخول فاشلة لكل IP لكل 15 دقيقة)
- يتحقق من رؤوس IP المحولة غير الموثوقة ويزيلها
2. تكوين قواعد WAF لحظر الطلبات ذات أنماط الرأس المريبة
3. تطبيق عناصر تحكم الوصول المستندة إلى IP تقصر وصول Fleet على الشبكات الإدارية المعروفة
4. تفعيل المصادقة متعددة العوامل على جميع حسابات Fleet الإدارية
5. مراقبة أنماط القوة الغاشمة في سجلات المصادقة
قواعد الكشف:
1. تنبيه عند محاولات تسجيل دخول متعددة فاشلة من عناوين IP مختلفة في نوافذ زمنية قصيرة من نفس حساب المستخدم
2. مراقبة الطلبات برؤوس IP متضاربة (عدم تطابق True-Client-IP مقابل X-Forwarded-For)
3. تتبع محاولات تسجيل الدخول بقيم X-Forwarded-For التي تدور بسرعة
4. تنبيه عند تجاوز فشل المصادقة 10 محاولات في الدقيقة لكل نقطة نهاية
5. مراقبة الطلبات الناشئة من مصادر غير وكيل برؤوس IP المحولة الموجودة