Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la API de Kubernetes de los clústeres administrados por Rancher. (CVE-2019-13209)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/09/2019
Última modificación:
13/04/2022

Descripción

Rancher versiones 2 hasta 2.2.4, es vulnerable a un ataque de tipo Cross-Site Websocket Hijacking, que permite a un explotador conseguir acceso a los clústeres administrados por Rancher. El ataque requiere que una víctima este registrada dentro de un servidor de Rancher y luego acceda a un sitio de terceros alojado por el explotador. Una vez que es logrado, el explorador es capaz de ejecutar comandos contra la API de Kubernetes del clúster con los permisos e identidad de la víctima.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:suse:rancher:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.2.4 (incluyendo)