CVE-2021-36782
Rancher: Plaintext storage and exposure of credentials in Rancher API and cluster.management.cattle.io object
En resumen
Rancher almacena credenciales sensibles en texto plano permitiendo que usuarios autenticados las lean a través de la API de Kubernetes. Cualquiera con acceso básico al cluster puede obtener contraseñas y secretos que deberían estar protegidos.
Detalle técnico
Vulnerabilidad CWE-312 que permite a usuarios autenticados (Propietarios de Cluster, Miembros, Propietarios de Proyecto, Miembros y usuarios base) recuperar datos sensibles en texto plano mediante llamadas a la API de Kubernetes. Requiere autenticación válida; el impacto incluye exposición de todas las credenciales y secretos almacenados.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Cleartext Storage of Sensitive Information vulnerability in SUSE Rancher allows authenticated Cluster Owners, Cluster Members, Project Owners, Project Members and User Base to use the Kubernetes API to retrieve plaintext version of sensitive data. This issue affects: SUSE Rancher Rancher versions prior to 2.5.16; Rancher versions prior to 2.6.7.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
SUSE · RancherPoCs públicas encontradas — 1
githubgithub.com/fe-ax/tf-cve-2021-36782★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →