PT-2024-10046 · Rancher+2 · Rke2+3
Publicado
2024-06-17
·
Atualizado
2025-04-16
·
CVE-2023-32197
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rancher Manager anteriores à v2.8.9
Versões do RKE2 anteriores à v1.27.15
Versões do RKE2 anteriores à v1.28.11
Versões do RKE2 anteriores à v1.29.6
Versões do RKE2 anteriores à v1.30.2
Descrição
O problema está relacionado à atribuição incorreta de permissões para um recurso crítico na ferramenta Rancher Manager, utilizada para gerenciar clusters do Kubernetes. Isso pode permitir que um invasor remoto eleve seus privilégios devido a listas de controle de acesso (ACLs) inseguras. A vulnerabilidade afeta nós do Windows.
Recomendações
Para versões do RKE2 anteriores à v1.27.15, atualize para a versão v1.27.15 ou posterior.
Para versões do RKE2 anteriores à v1.28.11, atualize para a versão v1.28.11 ou posterior.
Para versões do RKE2 anteriores à v1.29.6, atualize para a versão v1.29.6 ou posterior.
Para versões do RKE2 anteriores à v1.30.2, atualize para a versão v1.30.2 ou posterior.
Para versões do Rancher Manager anteriores à v2.8.9, atualize para a versão v2.8.9 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos módulos vulneráveis
github.com/rancher/rke2 e github.com/rancher/rancher até que um patch esteja disponível.Exploit
Correção
LPE
Incorrect Permission
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rke2
Rancher Manager
Suse
Windows