CVE-2026-44949
WysokieCVSS 7.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Podatność w Rancher FleetWorkspace umożliwia nieautoryzowanemu atakującemu z dostępem sieciowym do usługi rancher-webhook w klastrze na tworzenie obiektów Kubernetes związanych z przestrzeniami roboczymi z tożsamością wybraną przez atakującego. Problem dotyczy wersji od 0.7.0 do 0.7.10, 0.8.0 do 0.8.7, 0.9.0 do 0.9.6 oraz 0.10.0 do 0.10.7.
Ocena ryzyka
Atakujący może nieautoryzowanie tworzyć obiekty Kubernetes z fałszywą tożsamością, co może prowadzić do eskalacji uprawnień, naruszenia integralności danych lub dalszych ataków w klastrze.
Rekomendacja
Należy niezwłocznie zaktualizować Rancher Fleet do wersji 0.7.11, 0.8.8, 0.9.7 lub 0.10.8, w zależności od używanej gałęzi, oraz ograniczyć dostęp sieciowy do usługi rancher-webhook.
Oryginalny opis (angielski, źródło NVD)
A Rancher FleetWorkspace admission path allowed side effects to occur in the Rancher webhook handler for versions 0.7.0 up to 0.7.10, 0.8.0 up to 0.8.7, 0.9.0 up to 0.9.6 and 0.10.0 up to 0.10.7. An unauthenticated attacker with network access to the in-cluster rancher-webhook service could submit a crafted admission payload and cause workspace-related Kubernetes objects to be created with attacker-chosen identity data.

