CVE-2026-25963

Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una verificación de autorización defectuosa en la API de eliminación de plantillas de certificados de Fleet podría permitir a un administrador de equipo eliminar plantillas de certificados pertenecientes a otros equipos dentro de la misma instancia de Fleet. Fleet admite plantillas de certificados con ámbito para equipos individuales. En las versiones afectadas, el endpoint de eliminación por lotes validaba la autorización utilizando un identificador de equipo proporcionado por el usuario, pero no verificaba que los ID de las plantillas de certificados que se estaban eliminando realmente pertenecieran a ese equipo. Como resultado, un administrador de equipo podría eliminar plantillas de certificados asociadas con otros equipos, interrumpiendo potencialmente flujos de trabajo basados en certificados como la inscripción de dispositivos, la autenticación Wi-Fi, el acceso VPN u otras configuraciones dependientes de certificados para los equipos afectados. Este problema no permite la escalada de privilegios, el acceso a datos sensibles o el compromiso del plano de control de Fleet. El impacto se limita a la integridad y disponibilidad de las plantillas de certificados entre equipos. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los administradores deben restringir el acceso a la gestión de plantillas de certificados a usuarios de confianza y evitar delegar permisos de administrador de equipo donde no sean estrictamente necesarios.