CVE-2026-24004

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

26/02/2026

Última modificación:

26/02/2026

Descripción

Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una vulnerabilidad en el manejo de Pub/Sub de MDM de Android de Fleet podría permitir que solicitudes no autenticadas desencadenen eventos de desinscripción de dispositivos. Esto puede resultar en la eliminación no autorizada de dispositivos Android individuales de la gestión de Fleet. Si el MDM de Android está habilitado, un atacante podría enviar una solicitud manipulada al endpoint de Pub/Sub de Android para desinscribir un dispositivo Android objetivo de Fleet sin autenticación. Este problema no otorga acceso a Fleet, no permite la ejecución de comandos ni proporciona visibilidad de los datos del dispositivo. El impacto se limita a la interrupción de la gestión de dispositivos Android para el dispositivo afectado. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios afectados de Fleet deberían deshabilitar temporalmente el MDM de Android.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.70 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Bajo
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

1.70

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://github.com/fleetdm/fleet/security/advisories/GHSA-9pm7-6g36-6j78