出典: Security NEXT – https://www.security-next.com/179933
「Fleet」のWindows MDM登録に深刻な脆弱性 – 不正端末混入のおそれ
「Fleet」のWindows MDM登録に深刻な脆弱性 – 不正端末混入のおそれ
エンドポイント管理プラットフォーム「Fleet」のWindows MDM有効時に、不正な端末が登録可能となる深刻な脆弱性が明らかとなった。
Windows環境で「Microsoft Entra ID(旧Azure AD)」を利用した「MDM(Mobile Device Management)」の登録時に「JWT(JSON Web Token)」の署名検証が行われていない脆弱性「CVE-2026-23518」が確認された。
署名の正当性を確認せずにトークン内のクレームを受け入れていることに起因。任意のID情報を含む細工したトークンにより任意のユーザーになりすました端末を登録できるという。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
「Fleet 4.78.3」「同4.77.1」「同4.76.2」「同4.75.2」「同4.53.3」にて脆弱性は修正されており、以降のバージョンへ更新するか、ア
