CVE-2026-27465

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-27465
Fleet is open source device management software. In versions prior to 4.80.1, a vulnerability in Fleet’s configuration API could expose Google Calendar service account credentials to authenticated users with low-privilege roles. This may allow unauthorized access to Google Calendar resources associated with the service account. Fleet returns configuration data through an API endpoint that is accessible to authenticated users, including those with the lowest-privilege “Observer” role. In affected versions, Google Calendar service account credentials were not properly obfuscated before being returned. As a result, a low-privilege user could retrieve the service account’s private key material. Depending on how the Google Calendar integration is configured, this could allow unauthorized access to calendar data or other Google Workspace resources associated with the service account. This issue does not allow escalation of privileges within Fleet or access to device management functionality. Version 4.80.1 patches the issue. If an immediate upgrade is not possible, administrators should remove the Google Calendar integration from Fleet and rotate the affected Google service account credentials.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/fleetdm/fleet/security/advisories/GHSA-2v6m-6xw3-6467 Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*
History

02 Mar 2026, 15:48

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5
First Time Fleetdm fleet
Fleetdm
References () https://github.com/fleetdm/fleet/security/advisories/GHSA-2v6m-6xw3-6467 - () https://github.com/fleetdm/fleet/security/advisories/GHSA-2v6m-6xw3-6467 - Vendor Advisory
CPE cpe:2.3:a:fleetdm:fleet:*:*:*:*:*:*:*:*

27 Feb 2026, 14:06

Type Values Removed Values Added
Summary
  • (es) Fleet es software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una vulnerabilidad en la API de configuración de Fleet podría exponer las credenciales de la cuenta de servicio de Google Calendar a usuarios autenticados con roles de bajo privilegio. Esto podría permitir el acceso no autorizado a los recursos de Google Calendar asociados con la cuenta de servicio. Fleet devuelve datos de configuración a través de un endpoint de API que es accesible para usuarios autenticados, incluidos aquellos con el rol de menor privilegio 'Observer'. En las versiones afectadas, las credenciales de la cuenta de servicio de Google Calendar no se ofuscaron correctamente antes de ser devueltas. Como resultado, un usuario de bajo privilegio podría recuperar el material de la clave privada de la cuenta de servicio. Dependiendo de cómo esté configurada la integración de Google Calendar, esto podría permitir el acceso no autorizado a datos del calendario u otros recursos de Google Workspace asociados con la cuenta de servicio. Este problema no permite la escalada de privilegios dentro de Fleet ni el acceso a la funcionalidad de gestión de dispositivos. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los administradores deben eliminar la integración de Google Calendar de Fleet y rotar las credenciales de la cuenta de servicio de Google afectadas.

26 Feb 2026, 03:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-02-26 03:16

Updated : 2026-03-02 15:48

NVD link : CVE-2026-27465

Mitre link : CVE-2026-27465

CVE.ORG link : CVE-2026-27465

JSON object : View

Products Affected

fleetdm

  • fleet
CWE
CWE-201

Insertion of Sensitive Information Into Sent Data