「Fleet」のWindows MDM登録に深刻な脆弱性 - 不正端末混入のおそれ

エンドポイント管理プラットフォーム「Fleet」のWindows MDM有効時に、不正な端末が登録可能となる深刻な脆弱性が明らかとなった。

Windows環境で「Microsoft Entra ID（旧Azure AD）」を利用した「MDM（Mobile Device Management）」の登録時に「JWT（JSON Web Token）」の署名検証が行われていない脆弱性「CVE-2026-23518」が確認された。

署名の正当性を確認せずにトークン内のクレームを受け入れていることに起因。任意のID情報を含む細工したトークンにより任意のユーザーになりすました端末を登録できるという。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

「Fleet 4.78.3」「同4.77.1」「同4.76.2」「同4.75.2」「同4.53.3」にて脆弱性は修正されており、以降のバージョンへ更新するか、アップデートが難しい場合は、「Windows」におけるMDM機能を無効化するなど対策を講じるよう呼びかけられている。

（Security NEXT - 2026/01/21 ） ツイート

PR

関連記事

「NVIDIA Merlin Transformers4Rec」に脆弱性 - 権限昇格などのおそれ
ブラウザ「Chrome」のスクリプト処理に脆弱性 - 更新版を公開
ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性
WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
「OpenStack」の認証ミドルウェアに脆弱性 - 権限昇格やなりすましのおそれ
「ConnectWise PSA」にXSSなど複数脆弱性 - 修正版が公開
コンテナ管理ツール「Arcane」にRCE脆弱性 - 最新版で問題機能を削除
「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を
「MS Edge」にアップデート、脆弱性11件を解消 - 独自修正も