Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Avisos de Seguridad y CVEs

Rancher se compromete a informar a la comunidad sobre problemas de seguridad en nuestros productos. Rancher publicará avisos de seguridad y CVEs (Vulnerabilidades y Exposiciones Comunes) para los problemas que hemos resuelto. También se publican nuevos avisos de seguridad en la página de seguridad de GitHub de Rancher.

ID Descripción Fecha Resolución

ID	Descripción	Fecha	Resolución
CVE-2026-25705	Rancher ahora protege contra el acceso arbitrario a archivos mediante recorrido de rutas en las extensiones de Rancher. Por defecto, solo los usuarios con permisos administrativos pueden desplegar extensiones de la interfaz de usuario, a menos que se conceda permiso explícito a otros usuarios.	30 de abril de 2026	Rancher v2.14.1, v2.13.5, v2.12.9, y v2.11.13
CVE-2025-62879	Rancher ahora proporciona nuevas versiones del chart de copia de seguridad de Rancher que evitan la filtración de credenciales secretas de S3 a través del registro del pod de copia de seguridad de Rancher.	29 de enero de 2026	Rancher v2.13.2, v2.12.6, v2.11.10, y v2.10.11
CVE-2025-67601	Rancher ahora elimina la capacidad de obtener certificados CA almacenados en la configuración de Rancher `cacerts` al usar el comando `login`.	29 de enero de 2026	Rancher v2.13.2, v2.12.6, v2.11.10, y v2.10.11
CVE-2023-32199	Rancher ahora elimina los ClusterRoleBindings correspondientes cada vez que se eliminan el GlobalRole del administrador o sus GlobalRoleBindings. Los ClusterRoleBindings previamente huérfanos se marcaron con la anotación `authz.cluster.cattle.io/admin-globalrole-missing=true`.	23 de octubre de 2025	Rancher v2.12.3 y v2.11.7
CVE-2024-58269	El proceso de redacción del registro de auditoría de Rancher ha cambiado a lo siguiente: Ahora redacta las anotaciones `kubectl.kubernetes.io/last-applied-configuration` en los contenidos del cuerpo de la Respuesta y de la Solicitud. Anteriormente, no redactaba el contenido del cuerpo de la Respuesta. Ahora redacta las URL de Importación de Clúster en las URL de Solicitud y en los encabezados Referer. Anteriormente, no redactaba los encabezados Referer.	23 de octubre de 2025	Rancher v2.12.3
CVE-2024-58260	Establecer el nombre de usuario de un usuario como el mismo nombre de usuario de otro usuario provoca un error cuando cualquiera de los usuarios intenta iniciar sesión. Por lo tanto, un usuario con el permiso `Manage Users` podría potencialmente impedir que cualquier usuario, incluidos los administradores, inicie sesión. Para prevenir esto, los nombres de usuario se han vuelto inmutables una vez establecidos, y no es posible actualizar o crear un usuario con un nombre de usuario que ya esté en uso.	25 de septiembre de 2025	Rancher v2.12.2, v2.11.6, v2.10.10, y v2.9.12
CVE-2024-58267	La CLI de Rancher se modifica para imprimir el `requestId` de manera más visible que como parte de la URL de inicio de sesión. También añade un marcador de origen `cli=true` a la URL. El panel se modifica para reconocer la presencia del `requestId` y utiliza eso para mostrar un mensaje de advertencia al usuario, pidiendo verificación de que iniciaron sesión en la CLI con el Id relacionado. La no presencia del marcador de origen permite al panel distinguir entre la CLI modificada y las CLI anteriores, y ajustar el mensaje en consecuencia.	25 de septiembre de 2025	Rancher v2.12.2, v2.11.6, v2.10.10, y v2.9.12
CVE-2025-54468	Los encabezados `Impersonate-*` se eliminan para las solicitudes realizadas a través del punto final `/meta/proxy` de Rancher (por ejemplo, cuando se están creando credenciales en la nube) ya que los encabezados pueden contener información identificable y/o sensible.	25 de septiembre de 2025	Rancher v2.12.2, v2.11.6, v2.10.10, y v2.9.12
CVE-2024-58259	Las solicitudes POST a los puntos finales de la API de Rancher ahora están limitadas a 1 Mi; esto es configurable a través de la configuración si necesitas un límite mayor. Los puntos finales de autenticación de Rancher están configurados de forma independiente de la API pública principal (ya que podrías necesitar cargas más grandes en los otros puntos finales de la API). Supongamos que necesitas aumentar la carga máxima permitida para la autenticación. En ese caso, puedes establecer la variable de entorno `CATTLE_AUTH_API_BODY_LIMIT` a una cantidad, por ejemplo, 2 Mi, lo que permitiría cargas más grandes para los puntos finales de autenticación.	28 de agosto de 2025	Rancher v2.12.1, v2.11.5, v2.10.9 y v2.9.11
CVE-2024-52284	Tras un reciente cambio que excluye los archivos de valores de Helm de los bundles, se presentó un caso límite en el que los archivos de valores referenciados en `fleet.yaml` con el nombre de tu directorio (por ejemplo, `my-dir/values.yaml` en lugar de `values.yaml`) no se excluían, lo que podría potencialmente exponer datos confidenciales en los recursos del bundle. Los archivos de valores de Helm ahora se excluyen de los recursos del bundle independientemente de cómo los referencies.	28 de agosto de 2025	Rancher v2.12.1, v2.11.5 y v2.10.9

CVE-2026-25705

Rancher ahora protege contra el acceso arbitrario a archivos mediante recorrido de rutas en las extensiones de Rancher. Por defecto, solo los usuarios con permisos administrativos pueden desplegar extensiones de la interfaz de usuario, a menos que se conceda permiso explícito a otros usuarios.

30 de abril de 2026

Rancher v2.14.1, v2.13.5, v2.12.9, y v2.11.13

CVE-2025-62879

Rancher ahora proporciona nuevas versiones del chart de copia de seguridad de Rancher que evitan la filtración de credenciales secretas de S3 a través del registro del pod de copia de seguridad de Rancher.

29 de enero de 2026

Rancher v2.13.2, v2.12.6, v2.11.10, y v2.10.11

CVE-2025-67601

Rancher ahora elimina la capacidad de obtener certificados CA almacenados en la configuración de Rancher cacerts al usar el comando login.

29 de enero de 2026

Rancher v2.13.2, v2.12.6, v2.11.10, y v2.10.11

CVE-2023-32199

Rancher ahora elimina los ClusterRoleBindings correspondientes cada vez que se eliminan el GlobalRole del administrador o sus GlobalRoleBindings. Los ClusterRoleBindings previamente huérfanos se marcaron con la anotación authz.cluster.cattle.io/admin-globalrole-missing=true.

23 de octubre de 2025

Rancher v2.12.3 y v2.11.7

CVE-2024-58269

El proceso de redacción del registro de auditoría de Rancher ha cambiado a lo siguiente:

Ahora redacta las anotaciones kubectl.kubernetes.io/last-applied-configuration en los contenidos del cuerpo de la Respuesta y de la Solicitud. Anteriormente, no redactaba el contenido del cuerpo de la Respuesta.
Ahora redacta las URL de Importación de Clúster en las URL de Solicitud y en los encabezados Referer. Anteriormente, no redactaba los encabezados Referer.

23 de octubre de 2025

Rancher v2.12.3

CVE-2024-58260

Establecer el nombre de usuario de un usuario como el mismo nombre de usuario de otro usuario provoca un error cuando cualquiera de los usuarios intenta iniciar sesión. Por lo tanto, un usuario con el permiso Manage Users podría potencialmente impedir que cualquier usuario, incluidos los administradores, inicie sesión. Para prevenir esto, los nombres de usuario se han vuelto inmutables una vez establecidos, y no es posible actualizar o crear un usuario con un nombre de usuario que ya esté en uso.

25 de septiembre de 2025

Rancher v2.12.2, v2.11.6, v2.10.10, y v2.9.12

CVE-2024-58267

La CLI de Rancher se modifica para imprimir el requestId de manera más visible que como parte de la URL de inicio de sesión. También añade un marcador de origen cli=true a la URL. El panel se modifica para reconocer la presencia del requestId y utiliza eso para mostrar un mensaje de advertencia al usuario, pidiendo verificación de que iniciaron sesión en la CLI con el Id relacionado. La no presencia del marcador de origen permite al panel distinguir entre la CLI modificada y las CLI anteriores, y ajustar el mensaje en consecuencia.

25 de septiembre de 2025

Rancher v2.12.2, v2.11.6, v2.10.10, y v2.9.12

CVE-2025-54468

Los encabezados Impersonate-* se eliminan para las solicitudes realizadas a través del punto final /meta/proxy de Rancher (por ejemplo, cuando se están creando credenciales en la nube) ya que los encabezados pueden contener información identificable y/o sensible.

25 de septiembre de 2025

Rancher v2.12.2, v2.11.6, v2.10.10, y v2.9.12

CVE-2024-58259

Las solicitudes POST a los puntos finales de la API de Rancher ahora están limitadas a 1 Mi; esto es configurable a través de la configuración si necesitas un límite mayor. Los puntos finales de autenticación de Rancher están configurados de forma independiente de la API pública principal (ya que podrías necesitar cargas más grandes en los otros puntos finales de la API). Supongamos que necesitas aumentar la carga máxima permitida para la autenticación. En ese caso, puedes establecer la variable de entorno CATTLE_AUTH_API_BODY_LIMIT a una cantidad, por ejemplo, 2 Mi, lo que permitiría cargas más grandes para los puntos finales de autenticación.

28 de agosto de 2025

Rancher v2.12.1, v2.11.5, v2.10.9 y v2.9.11

CVE-2024-52284

Tras un reciente cambio que excluye los archivos de valores de Helm de los bundles, se presentó un caso límite en el que los archivos de valores referenciados en fleet.yaml con el nombre de tu directorio (por ejemplo, my-dir/values.yaml en lugar de values.yaml) no se excluían, lo que podría potencialmente exponer datos confidenciales en los recursos del bundle. Los archivos de valores de Helm ahora se excluyen de los recursos del bundle independientemente de cómo los referencies.

28 de agosto de 2025

Rancher v2.12.1, v2.11.5 y v2.10.9