PT-2022-10546 · Suse · Suse Rancher
Jonathan Mercier
·
Publicado
2022-04-01
·
Atualizado
2024-06-05
·
CVE-2021-36775
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SUSE Rancher anteriores à 2.4.18
Versões do SUSE Rancher anteriores à 2.5.12
Versões do SUSE Rancher anteriores à 2.6.3
Descrição
Uma falha de controle de acesso inadequado no SUSE Rancher permite que usuários mantenham privilégios que deveriam ter sido revogados. Isso ocorre devido a uma verificação incompleta da lógica de autorização ao remover uma função de projeto associada a um grupo de um projeto, resultando na não exclusão das ligações que concedem acesso a recursos no escopo do cluster. Um usuário que seja membro de um grupo afetado com acesso autenticado ao Rancher poderia explorar isso para acessar recursos aos quais não deveria mais ter acesso. O nível de exposição depende do nível de permissão original concedido à função de projeto afetada.
Recomendações
Para versões do SUSE Rancher anteriores à 2.4.18, atualize para a versão 2.4.18 ou posterior.
Para versões do SUSE Rancher anteriores à 2.5.12, atualize para a versão 2.5.12 ou posterior.
Para versões do SUSE Rancher anteriores à 2.6.3, atualize para a versão 2.6.3 ou posterior.
Como solução alternativa temporária, limite o acesso no Rancher a usuários confiáveis.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Suse Rancher