PT-2026-55201 · Suse · Rancher Fleet
Radisauskas Arnoldas
·
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-44935
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
SUSE Rancher Fleet versões anteriores a 0.15.2
SUSE Rancher Fleet versões anteriores a 0.14.6
SUSE Rancher Fleet versões anteriores a 0.13.11
SUSE Rancher Fleet versões anteriores a 0.12.15
Description
A falta de validação de referências
valuesFrom no Helm Deployer permite que locatários em ambientes multi-tenant ignorem restrições e acessem config maps ou secrets em todos os namespaces nos clusters downstream. Um invasor pode usar valuesFrom dentro de um fleet.yaml (através de um recurso GitRepo) ou de um recurso HelmOp para ler conteúdos de secrets, desde que conheça ou adivinhe o nome, namespace e chave. Além disso, usuários não autorizados podem criar recursos em todo o cluster usando HelmOp ou Bundle sem estarem restritos a uma conta de serviço específica para o agente Fleet.Recommendations
Atualize o SUSE Rancher Fleet para a versão 0.15.2 ou posterior.
Atualize o SUSE Rancher Fleet para a versão 0.14.6 ou posterior.
Atualize o SUSE Rancher Fleet para a versão 0.13.11 ou posterior.
Atualize o SUSE Rancher Fleet para a versão 0.12.15 ou posterior.
Como medida paliativa temporária, certifique-se de que os locatários não tenham acesso compartilhado aos mesmos clusters downstream.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rancher Fleet