CVE-2022-43755
Rancher: Non-random authentication token
Em resumo
O Rancher gera tokens de autenticação com aleatoriedade insuficiente, permitindo que invasores que conhecem um token antigo consigam reutilizá-lo ou prever novos tokens mesmo após renovação. Isso compromete a segurança da autenticação.
Detalhe técnico
A vulnerabilidade CWE-331 (Entropia Insuficiente) no gerador de cattle-token do Rancher permite que atacantes com conhecimento de um token anterior consigam inferir ou continuar explorando tokens subsequentes devido à fraca aleatorização. O mecanismo de renovação de tokens não oferece proteção adequada, permitindo persistência de acesso não autorizado. Versões afetadas: Rancher <2.6.10 e <2.7.1.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Insufficient Entropy vulnerability in SUSE Rancher allows attackers that gained knowledge of the cattle-token to continue abusing this even after the token was renewed. This issue affects: SUSE Rancher Rancher versions prior to 2.6.10; Rancher versions prior to 2.7.1.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:H
Produtos afetados
SUSE · RancherQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →