プラットフォーム
linux
コンポーネント
fleetdm/fleet
修正版
4.81.2
Fleetはオープンソースのデバイス管理ソフトウェアです。CVE-2026-27806は、OrbitエージェントのFileVaultディスク暗号化キーローテーションフローにおいて、GUIダイアログ経由でローカルユーザーのパスワードを取得し、exec.Command()を通じてTcl/expectスクリプトに直接埋め込む脆弱性です。影響を受けるバージョンは4.81.0~4.81.0未満です。4.81.1でこの問題が修正されました。
この脆弱性を悪用されると、ローカルの権限を持たないユーザーがroot権限を昇格させることが可能です。攻撃者は、FileVaultキーローテーションフローのパスワード入力画面に悪意のあるTclコマンドを注入し、そのコマンドがroot権限で実行されるように仕向けます。これにより、システムへの完全なアクセス権を得て、機密情報の窃取、データの改ざん、マルウェアのインストールなど、広範囲にわたる攻撃を実行できる可能性があります。この脆弱性は、Tcl/expectスクリプトの構文を悪用したものであり、類似の脆弱性(例えば、コマンドライン引数への不適切な入力処理)を持つ他のアプリケーションにも存在する可能性があります。
この脆弱性は2026年4月8日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Fleetを導入している組織のシステムに侵入し、機密情報を窃取する可能性があります。
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずFleetをバージョン4.81.1にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、OrbitエージェントのFileVaultキーローテーションフローの使用を一時的に停止するか、パスワード入力の検証を強化するWAFルールを導入することを検討してください。また、Orbitエージェントのログを監視し、不審なTclコマンドの実行がないか確認することも有効です。アップデート後、Fleetのバージョンが4.81.1であることを確認し、FileVaultキーローテーションフローが正常に機能していることを検証してください。
脆弱性を軽減するために、バージョン4.81.1以降にアップデートしてください。このアップデートは、スクリプトの実行前にユーザー入力を適切に検証することで、Tclコマンドインジェクションを修正します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-27806は、FleetのOrbitエージェントにおけるFileVaultキーローテーションフローのパスワード処理におけるコマンドインジェクション脆弱性です。攻撃者は、パスワードに特殊文字を埋め込むことで、任意のコマンドを実行できます。
Fleetのバージョンが4.81.0~4.81.0未満の場合、影響を受けます。バージョン4.81.1にアップデートすることで、この脆弱性は修正されます。
Fleetをバージョン4.81.1にアップデートしてください。アップデートが困難な場合は、FileVaultキーローテーションフローの使用を一時停止するか、WAFルールを導入することを検討してください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。
Fleetの公式アドバイザリは、FleetのウェブサイトまたはGitHubリポジトリで確認できます。
CVSS ベクトル