BDU:2022-05604

Опубликовано: 07 сент. 2022

Источник: fstec

CVSS3: 9.1

CVSS2: 9

EPSS Низкий

Описание

Уязвимость программного обеспечения управления кластерами Kubernets Rancher связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

Rancher Labs

Наименование ПО

Rancher

Версия ПО

до 2.5.16 (Rancher)

до 2.6.7 (Rancher)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/rancher/rancher/security/advisories/GHSA-6x34-89p7-95wg

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-31247
CVE

EPSS

Процентиль: 57%

0.00345

Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-31247

CVSS3: 9.1

nvd

больше 3 лет назад

An Improper Authorization vulnerability in SUSE Rancher, allows any user who has permissions to create/edit cluster role template bindings or project role template bindings (such as cluster-owner, manage cluster members, project-owner and manage project members) to gain owner permission in another project in the same cluster or in another project on a different downstream cluster. This issue affects: SUSE Rancher Rancher versions prior to 2.6.7; Rancher versions prior to 2.5.16.

EPSS

Процентиль: 57%

0.00345

Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2