PT-2024-11972 · Rancher · Rancher
Pdellamore
·
Publicado
2024-06-17
·
Atualizado
2025-10-24
·
CVE-2023-22650
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rancher anteriores à 2.7.14
Versões do Rancher anteriores à 2.8.5
Descrição
Foi identificada uma vulnerabilidade na qual o Rancher não limpa automaticamente um usuário que foi excluído do provedor de autenticação configurado. Isso também se aplica a usuários desativados ou revogados e pode deixar os tokens do usuário ainda utilizáveis. Um invasor pode obter acesso não autorizado, pois os privilégios de acesso do usuário podem ainda estar ativos no Rancher, mesmo que não sejam mais válidos no provedor de autenticação configurado.
Recomendações
Para versões anteriores à 2.7.14, atualize para a versão 2.7.14 ou posterior para resolver o problema.
Para versões anteriores à 2.8.5, atualize para a versão 2.8.5 ou posterior para resolver o problema.
Como solução alternativa temporária, considere excluir ou desativar manualmente usuários inativos por meio do kubectl ou da interface do usuário para refletir as alterações feitas no provedor de autenticação.
Habilite o novo processo de retenção de usuários para ser executado periodicamente e desative e/ou exclua usuários inativos, configurando o período de retenção conforme necessário.
Audite regularmente as contas de usuário do provedor de autenticação quanto à atividade e desative-as manualmente ou remova-as do Rancher se elas não forem mais necessárias.
Correção
Improper Authentication
Insufficient Session Expiration
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rancher