漏洞标题
RKE1集群状态ConfigMap中存储了rke的凭证
漏洞描述信息
当RKE部署集群时,它会将集群状态存储在一个名为`full-cluster-state`的configmap中,该configmap位于集群自身的`kube-system`命名空间内。这些信息使得非管理员用户可以提升权限至管理员级别。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
信息暴露
漏洞标题
rke's credentials are stored in the RKE1 Cluster state ConfigMap
漏洞描述信息
When RKE provisions a cluster, it stores the cluster state in a configmap called `full-cluster-state` inside the `kube-system` namespace of the cluster itself. The information available in there allows non-admin users to escalate to admin.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
漏洞类别
敏感信息的不安全存储
漏洞标题
rke 安全漏洞
漏洞描述信息
rke是Rancher开源的一个极其简单、闪电般快速的 Kubernetes 安装程序。 rke存在安全漏洞,该漏洞源于凭据存储在ConfigMap中,其中的信息允许非管理员用户升级为管理员。
CVSS信息
N/A
漏洞类别
其他