JVNDB-2026-005790

Fleet Device ManagementのfleetにおけるSQL インジェクションの脆弱性

Fleetはオープンソースのデバイス管理ソフトウェアです。バージョン4.80.1未満において、認証済みユーザーが`order_key`クエリパラメータを通じて任意のSQL式を注入できるSQLインジェクションの脆弱性が存在しました。`ORDER BY`句を構築する際に`goqu.I()`が安全に使用されていなかったため、特別に細工された入力が識別子の引用を回避し、実行可能なSQLとして解釈される可能性がありました。影響を受けるエンドポイントにアクセス可能な認証済み攻撃者は、基盤となるMySQLクエリにSQL式を注入できました。注入は`ORDER BY`コンテキストで発生しますが、これは条件式を通じて結果の並び順に影響を与え、盲目的なSQLインジェクション技術を利用してデータベース情報を漏洩させるのに十分です。細工された式によって過度な計算やクエリの失敗が引き起こされる可能性もあり、それがパフォーマンス低下やサービス拒否につながる恐れがあります。信頼できるデータ改変や複数クエリの連結実行の直接的な証拠は示されていません。バージョン4.80.1でこの問題は修正されました。即時のアップグレードが不可能な場合は、影響を受けるエンドポイントへのアクセスを信頼できるロールのみに制限し、アプリケーションやプロキシ層でユーザーが提供するソートやカラムパラメータを厳密に許可リスト化する必要があります。

Fleet Device Management

• fleet 4.80.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : SQL injection via backtick escape in ORDER BY parameter  Advisory  fleetdm/fleet  GitHub

1. SQLインジェクション(CWE-89) [その他]

1. CVE-2026-26186

1. National Vulnerability Database (NVD) : CVE-2026-26186

• [2026年03月04日]
    掲載