PT-2024-12302 · Rancher · Rancher
Andy Pitcher
·
Publicado
2024-02-08
·
Atualizado
2024-10-16
·
CVE-2023-32194
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Rancher 2.6.0 a 2.6.13
Versões do Rancher 2.7.0 a 2.7.9
Versões do Rancher 2.8.0 a 2.8.1
Descrição
Foi identificada uma vulnerabilidade ao conceder uma função global de criação ou * para um tipo de recurso “namespaces”. Isso pode permitir que alguém acesse, crie, atualize ou exclua um namespace no projeto. O usuário receberá * permissões para namespaces principais, independentemente do grupo de API. Isso pode resultar em vazamento de segredos e abuso de cotas de recursos.
Recomendações
Para as versões 2.6.0 a 2.6.13 do Rancher, atualize para a versão 2.6.14.
Para as versões 2.7.0 a 2.7.9 do Rancher, atualize para a versão 2.7.10.
Para as versões 2.8.0 a 2.8.1 do Rancher, atualize para a versão 2.8.2.
Como solução alternativa temporária, considere restringir o uso de funções globais para o tipo de recurso “namespaces” até que um patch esteja disponível. Evite conceder funções globais de criação ou * para “namespaces” a fim de minimizar o risco de exploração.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rancher