Fleet is open source device management software. In versions prior to 4.80.1, a broken authorization check in Fleet’s certificate template deletion API could allow a team administrator to delete certificate templates belonging to other teams within the same Fleet instance. Fleet supports certificate templates that are scoped to individual teams. In affected versions, the batch deletion endpoint validated authorization using a user-supplied team identifier but did not verify that the certificate template IDs being deleted actually belonged to that team. As a result, a team administrator could delete certificate templates associated with other teams, potentially disrupting certificate-based workflows such as device enrollment, Wi-Fi authentication, VPN access, or other certificate-dependent configurations for the affected teams. This issue does not allow privilege escalation, access to sensitive data, or compromise of Fleet’s control plane. Impact is limited to integrity and availability of certificate templates across teams. Version 4.80.1 patches the issue. If an immediate upgrade is not possible, administrators should restrict access to certificate template management to trusted users and avoid delegating team administrator permissions where not strictly required.
Fleet versions prior to 4.80.1 contain a broken authorization check in the certificate template deletion API that allows team administrators to delete certificate templates from other teams. This vulnerability could disrupt certificate-based workflows including device enrollment, Wi-Fi authentication, and VPN access across multiple teams.
يحتوي Fleet على خلل في فحص التفويض في نقطة نهاية حذف قالب الشهادة حيث يتحقق من معرف الفريق المزود من قبل المستخدم فقط دون التحقق من أن معرفات قالب الشهادة المراد حذفها تنتمي فعلاً إلى ذلك الفريق. يمكن لمسؤول الفريق استخدام هذا الخلل لحذف قوالب الشهادات المرتبطة بفرق أخرى، مما قد يعطل سير العمل المعتمد على الشهادات مثل تسجيل الأجهزة والمصادقة عبر Wi-Fi والوصول إلى VPN.
إصدارات Fleet السابقة للإصدار 4.80.1 تحتوي على فحص تفويض معطل في واجهة برمجة تطبيقات حذف قالب الشهادة يسمح لمسؤولي الفريق بحذف قوالب الشهادات من فريق آخر. قد يؤدي هذا الثغرة إلى تعطيل سير العمل القائم على الشهادات بما في ذلك تسجيل الأجهزة والمصادقة عبر Wi-Fi والوصول إلى VPN عبر فرق متعددة.
Upgrade Fleet to version 4.80.1 or later immediately. Review audit logs for unauthorized certificate template deletions. Verify certificate template integrity across all teams and restore any deleted templates from backups if necessary.
قم بترقية Fleet إلى الإصدار 4.80.1 أو أحدث على الفور. راجع سجلات التدقيق للحذف غير المصرح به لقوالب الشهادات. تحقق من سلامة قالب الشهادة عبر جميع الفرق واستعد أي قوالب محذوفة من النسخ الاحتياطية إذا لزم الأمر.