CVE-2022-43755
Rancher: Non-random authentication token
En resumen
Rancher genera tokens de autenticación con insuficiente aleatoriedad, permitiendo que atacantes que conocen un token antiguo puedan reutilizarlo o predecir nuevos tokens incluso después de su renovación. Esto socava la seguridad de la autenticación basada en tokens.
Detalle técnico
La vulnerabilidad CWE-331 (Entropía Insuficiente) en la generación de cattle-token en Rancher permite que atacantes con conocimiento de un token anterior infieran o continúen explotando tokens posteriores debido a una aleatorización débil. El mecanismo de renovación de tokens no proporciona protección adecuada, permitiendo la persistencia del acceso no autorizado. Versiones afectadas: Rancher <2.6.10 y <2.7.1.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Insufficient Entropy vulnerability in SUSE Rancher allows attackers that gained knowledge of the cattle-token to continue abusing this even after the token was renewed. This issue affects: SUSE Rancher Rancher versions prior to 2.6.10; Rancher versions prior to 2.7.1.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:H
Productos afectados
SUSE · Rancher¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →