PT-2026-55201 · Suse · Rancher Fleet

Radisauskas Arnoldas

·

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-44935

CVSS v3.1

9.9

Crítica

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas SUSE Rancher Fleet versões anteriores a 0.15.2 SUSE Rancher Fleet versões anteriores a 0.14.6 SUSE Rancher Fleet versões anteriores a 0.13.11 SUSE Rancher Fleet versões anteriores a 0.12.15
Description A falta de validação de referências valuesFrom no Helm Deployer permite que locatários em ambientes multi-tenant ignorem restrições e acessem config maps ou secrets em todos os namespaces nos clusters downstream. Um invasor pode usar valuesFrom dentro de um fleet.yaml (através de um recurso GitRepo) ou de um recurso HelmOp para ler conteúdos de secrets, desde que conheça ou adivinhe o nome, namespace e chave. Além disso, usuários não autorizados podem criar recursos em todo o cluster usando HelmOp ou Bundle sem estarem restritos a uma conta de serviço específica para o agente Fleet.
Recommendations Atualize o SUSE Rancher Fleet para a versão 0.15.2 ou posterior. Atualize o SUSE Rancher Fleet para a versão 0.14.6 ou posterior. Atualize o SUSE Rancher Fleet para a versão 0.13.11 ou posterior. Atualize o SUSE Rancher Fleet para a versão 0.12.15 ou posterior. Como medida paliativa temporária, certifique-se de que os locatários não tenham acesso compartilhado aos mesmos clusters downstream.

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44935
GHSA-XR65-5CPM-G36X

Produtos afetados

Rancher Fleet