PT-2024-4208 · Rancher · Rancher+1
Pdellamore
·
Publicado
2024-06-16
·
Atualizado
2024-11-09
·
CVE-2023-32191
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Rancher Kubernetes Engine (RKE) anteriores à 1.4.19
Versões do Rancher Kubernetes Engine (RKE) anteriores à 1.5.10
Versões do Rancher anteriores à 2.7.14
Versões do Rancher anteriores à 2.8.5
Descrição
O problema está relacionado ao armazenamento do estado do cluster em um configmap chamado
full-cluster-state dentro do namespace kube-system do próprio cluster. Esse objeto de estado do cluster contém dados confidenciais, incluindo chaves privadas SSH, credenciais de provedores de nuvem e chaves de criptografia. Usuários sem privilégios de administrador podem obter privilégios de administrador acessando esse configmap. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.Os detalhes técnicos sobre a exploração incluem:
-
Pontos de extremidade da API: Não especificados
-
Parâmetros ou variáveis vulneráveis: configmap
full-cluster-state,RancherKubernetesEngineConfig,RKENodeConfig,SSH username,SSH private key,SSH private key path,RKEConfigServices,ETCDService,External client key,BackupConfig,S3BackupConfig,AWS access key,AWS secret key,KubeAPIService,SecretsEncryptionConfig,Configuração de criptografia do K8s,PrivateRegistries,Usuário,Senha,ECRCredentialPlugin,Chave de acesso da AWS,Chave secreta da AWS,Token de sessão da AWS,CloudProvider,AzureCloudProvider,ID do cliente AAD,Segredo do cliente AAD,Senha do certificado do cliente AAD,OpenstackCloudProvider,Nome de usuário,Usuário
Correção
Cleartext Storage of Sensitive Information
Information Disclosure
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rancher
Rancher Kubernetes Engine