36 results (0.005 seconds)

CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0

A vulnerability has been identified in the way that Rancher stores vSphere's CPI (Cloud Provider Interface) and CSI (Container Storage Interface) credentials used to deploy clusters through the vSphere cloud provider. This issue leads to the vSphere CPI and CSI passwords being stored in a plaintext object inside Rancher. This vulnerability is only applicable to users that deploy clusters in vSphere environments. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2022-45157 https://github.com/rancher/rancher/security/advisories/GHSA-xj7w-r753-vj8v • CWE-522: Insufficiently Protected Credentials •

CVSS: 7.1EPSS: 0%CPEs: 2EXPL: 0

A vulnerability has been identified in which an RKE1 cluster keeps constantly reconciling when secrets encryption configuration is enabled. When reconciling, the Kube API secret values are written in plaintext on the AppliedSpec. Cluster owners, Cluster members, and Project members (for projects within the cluster), all have RBAC permissions to view the cluster object from the apiserver. Se ha identificado una vulnerabilidad en la que un clúster RKE1 se reconcilia constantemente cuando se habilita la configuración de cifrado de secretos. Al realizar la conciliación, los valores secretos de la API de Kube se escriben en texto plano en AppliedSpec. Los propietarios del clúster, los miembros del clúster y los miembros del proyecto (para los proyectos dentro del clúster) tienen permisos RBAC para ver el objeto del clúster desde el servidor de API. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-22032 https://github.com/rancher/rancher/security/advisories/GHSA-q6c7-56cq-g2wm • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 8.0EPSS: 0%CPEs: 3EXPL: 0

A vulnerability has been identified within Rancher that can be exploited in narrow circumstances through a man-in-the-middle (MITM) attack. An attacker would need to have control of an expired domain or execute a DNS spoofing/hijacking attack against the domain to exploit this vulnerability. The targeted domain is the one used as the Rancher URL. Se ha identificado una vulnerabilidad en Rancher que puede explotarse en circunstancias específicas mediante un ataque de intermediario (MITM). Un atacante tendría que tener el control de un dominio vencido o ejecutar un ataque de suplantación de DNS o secuestro contra el dominio para explotar esta vulnerabilidad. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-22030 https://github.com/rancher/rancher/security/advisories/GHSA-h4h5-9833-v2p4 • CWE-295: Improper Certificate Validation •

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0

A vulnerability has been identified whereby privilege escalation checks are not properly enforced for RoleTemplateobjects when external=true, which in specific scenarios can lead to privilege escalation. Se ha identificado una vulnerabilidad por la cual las comprobaciones de escalada de privilegios no se aplican correctamente para los objetos RoleTemplate cuando external=true, lo que en escenarios específicos puede provocar una escalada de privilegios. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2023-32196 https://github.com/rancher/rancher/security/advisories/GHSA-64jq-m7rq-768h • CWE-269: Improper Privilege Management •

CVSS: 8.6EPSS: 0%CPEs: 3EXPL: 0

A vulnerability has been identified when granting a create or * global role for a resource type of "namespaces"; no matter the API group, the subject will receive * permissions for core namespaces. This can lead to someone being capable of accessing, creating, updating, or deleting a namespace in the project. Se ha identificado una vulnerabilidad al otorgar un rol de creación o * global para un tipo de recurso de "espacios de nombres"; sin importar el grupo de API, el sujeto recibirá * permisos para espacios de nombres principales. Esto puede llevar a que alguien pueda acceder, crear, actualizar o eliminar un espacio de nombres en el proyecto. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2023-32194 https://github.com/rancher/rancher/security/advisories/GHSA-c85r-fwc7-45vc • CWE-269: Improper Privilege Management •