CVE-2026-23999

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-23999
Fleet is open source device management software. In versions prior to 4.80.1, Fleet generated device lock and wipe PINs using a predictable algorithm based solely on the current Unix timestamp. Because no secret key or additional entropy was used, the resulting PIN could potentially be derived if the approximate time the device was locked is known. Fleet’s device lock and wipe commands generate a 6-digit PIN that is displayed to administrators for unlocking a device. In affected versions, this PIN was deterministically derived from the current timestamp. An attacker with physical possession of a locked device and knowledge of the approximate time the lock command was issued could theoretically predict the correct PIN within a limited search window. However, successful exploitation is constrained by multiple factors: Physical access to the device is required, the approximate lock time must be known, the operating system enforces rate limiting on PIN entry attempts, attempts would need to be spread over, and device wipe operations would typically complete before sufficient attempts could be made. As a result, this issue does not allow remote exploitation, fleet-wide compromise, or bypass of Fleet authentication controls. Version 4.80.1 contains a patch. No known workarounds are available.

5.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 3.6

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/fleetdm/fleet/security/advisories/GHSA-ppwx-5jq7-px2w Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*
History

02 Mar 2026, 15:47

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 5.5
CPE cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*
References () https://github.com/fleetdm/fleet/security/advisories/GHSA-ppwx-5jq7-px2w - () https://github.com/fleetdm/fleet/security/advisories/GHSA-ppwx-5jq7-px2w - Vendor Advisory
First Time Fleetdm fleet
Fleetdm

27 Feb 2026, 14:06

Type Values Removed Values Added
Summary
  • (es) Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, Fleet generaba PINs de bloqueo y borrado de dispositivos utilizando un algoritmo predecible basado únicamente en la marca de tiempo Unix actual. Debido a que no se utilizaba ninguna clave secreta o entropía adicional, el PIN resultante podría derivarse potencialmente si se conoce la hora aproximada en que se bloqueó el dispositivo. Los comandos de bloqueo y borrado de dispositivos de Fleet generan un PIN de 6 dígitos que se muestra a los administradores para desbloquear un dispositivo. En las versiones afectadas, este PIN se derivaba de forma determinista de la marca de tiempo actual. Un atacante con posesión física de un dispositivo bloqueado y conocimiento de la hora aproximada en que se emitió el comando de bloqueo podría, teóricamente, predecir el PIN correcto dentro de una ventana de búsqueda limitada. Sin embargo, la explotación exitosa está limitada por múltiples factores: Se requiere acceso físico al dispositivo, se debe conocer la hora aproximada de bloqueo, el sistema operativo impone límites de velocidad en los intentos de entrada del PIN, los intentos tendrían que distribuirse, y las operaciones de borrado del dispositivo normalmente se completarían antes de que se pudieran realizar suficientes intentos. Como resultado, este problema no permite la explotación remota, el compromiso de toda la flota o la elusión de los controles de autenticación de Fleet. La versión 4.80.1 contiene un parche. No se conocen soluciones alternativas disponibles.

26 Feb 2026, 03:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-02-26 03:16

Updated : 2026-03-02 15:47

NVD link : CVE-2026-23999

Mitre link : CVE-2026-23999

CVE.ORG link : CVE-2026-23999

JSON object : View

Products Affected

fleetdm

  • fleet
CWE
CWE-330

Use of Insufficiently Random Values