CVE-2023-22647

Опубликовано: 01 июн. 2023

Источник: nvd

CVSS3: 9.9

CVSS3: 8

EPSS Низкий

Описание

An Improper Privilege Management vulnerability in SUSE Rancher allowed standard users to leverage their existing permissions to manipulate Kubernetes secrets in the local cluster, resulting in the secret being deleted, but their read-level permissions to the secret being preserved. When this operation was followed-up by other specially crafted commands, it could result in the user gaining access to tokens belonging to service accounts in the local cluster.

This issue affects Rancher: from >= 2.6.0 before < 2.6.13, from >= 2.7.0 before < 2.7.4.

Ссылки

https://bugzilla.suse.com/show_bug.cgi?id=CVE-2023-22647
Issue Tracking
Vendor Advisory
https://github.com/rancher/rancher/security/advisories/GHSA-p976-h52c-26p6
Vendor Advisory
https://bugzilla.suse.com/show_bug.cgi?id=CVE-2023-22647
Issue Tracking
Vendor Advisory
https://github.com/rancher/rancher/security/advisories/GHSA-p976-h52c-26p6
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:suse:rancher:*:*:*:*:*:*:*:*

Версия от 2.6.0 (включая) до 2.6.13 (исключая)

cpe:2.3:a:suse:rancher:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.4 (исключая)

EPSS

Процентиль: 68%

0.00585

Низкий

9.9 Critical

CVSS3

8 High

CVSS3

Дефекты

CWE-267

NVD-CWE-Other

Связанные уязвимости

GHSA-p976-h52c-26p6

CVSS3: 9.9

github

больше 2 лет назад

Rancher vulnerable to Privilege Escalation via manipulation of Secrets

BDU:2023-04049

CVSS3: 9.9

fstec

почти 3 года назад

Уязвимость программной платформы для развертывания контейнеров в производственной среде SUSE Rancher wrangler, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 68%

0.00585

Низкий

9.9 Critical

CVSS3

8 High

CVSS3

Дефекты

CWE-267

NVD-CWE-Other