В Rancher Manager была обнаружена уязвимость, при которой использование самозаверяющих сертификатов CA и передача флага -skip-verify команде входа в CLI Rancher без передачи флага –cacert приводит к тому, что CLI пытается получить сертификаты CA, хранящиеся в настройках cacerts Rancher.
Показать оригинальное описание (EN)
A vulnerability has been identified within Rancher Manager, where using self-signed CA certificates and passing the -skip-verify flag to the Rancher CLI login command without also passing the –cacert flag results in the CLI attempting to fetch CA certificates stored in Rancher’s setting cacerts.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1