Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Avis de sécurité et CVEs

Rancher s’engage à informer la communauté des problèmes de sécurité dans nos produits. Rancher publiera des avis de sécurité et des CVEs (Vulnérabilités et Expositions Communes) pour les problèmes que nous avons résolus. De nouveaux avis de sécurité sont également publiés sur la page sécurité de Rancher sur GitHub.

ID Description Date Résolution

ID	Description	Date	Résolution
CVE-2026-25705	Rancher protège désormais contre l’accès arbitraire aux fichiers par parcours de chemin dans les extensions Rancher. Note : par défaut, seuls les utilisateurs ayant des permissions administratives peuvent déployer des extensions UI, sauf si une permission explicite est accordée à d’autres utilisateurs.	30 avril 2026	Rancher v2.14.1, v2.13.5, v2.12.9, et v2.11.13
CVE-2025-62879	Rancher fournit désormais de nouvelles versions du chart de sauvegarde Rancher qui empêchent la fuite de secrets S3 via le journal du pod Rancher Backup.	29 janvier 2026	Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11
CVE-2025-67601	Rancher supprime désormais la possibilité de récupérer les certificats CA stockés dans le paramètre `cacerts` de Rancher lors de l’utilisation de la commande `login`.	29 janvier 2026	Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11
CVE-2023-32199	Rancher supprime désormais les ClusterRoleBindings correspondants chaque fois que le GlobalRole administrateur ou ses GlobalRoleBindings sont supprimés. Les ClusterRoleBindings précédemment orphelins étaient marqués avec l’annotation `authz.cluster.cattle.io/admin-globalrole-missing=true`.	23 octobre 2025	Rancher v2.12.3 et v2.11.7
CVE-2024-58269	Le processus de masquage des journaux d’audit de Rancher a changé comme suit : Il masque désormais les annotations `kubectl.kubernetes.io/last-applied-configuration` sur les contenus des corps de réponse et de demande. Auparavant, il ne masquait pas le contenu du corps de réponse. Il masque désormais les URL d’importation de cluster sur les URL de demande et les en-têtes Referer. Auparavant, il ne masquait pas les en-têtes Referer.	23 octobre 2025	Rancher v2.12.3
CVE-2024-58260	Définir le nom d’utilisateur d’un utilisateur comme étant le même que celui d’un autre utilisateur provoque une erreur lorsque l’un ou l’autre des utilisateurs tente de se connecter. Par conséquent, un utilisateur ayant la permission `Manage Users` pourrait potentiellement empêcher tout utilisateur, y compris les administrateurs, de se connecter. Pour éviter cela, les noms d’utilisateur sont devenus immuables une fois définis, et il n’est pas possible de mettre à jour ou de créer un utilisateur avec un nom d’utilisateur déjà utilisé.	25 sept. 2025	Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12
CVE-2024-58267	Le CLI de Rancher est modifié pour imprimer le `requestId` de manière plus visible que dans l’URL de connexion. Il ajoute également un marqueur d’origine `cli=true` à l’URL. Le tableau de bord est modifié pour reconnaître la présence du `requestId` et utilise cela pour afficher un message d’avertissement à l’utilisateur, demandant une vérification qu’il a initié une connexion CLI avec l’Id correspondant. L’absence du marqueur d’origine permet au tableau de bord de distinguer entre le CLI modifié et les anciens CLI, et d’ajuster le message en conséquence.	25 sept. 2025	Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12
CVE-2025-54468	Les en-têtes `Impersonate-*` sont supprimés pour les demandes effectuées via le point de terminaison `/meta/proxy` de Rancher (par exemple, lors de la création d’identifiants cloud) car les en-têtes peuvent contenir des informations identifiables et/ou sensibles.	25 sept. 2025	Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12
CVE-2024-58259	Les POSTs vers les points de terminaison de l’API Rancher sont désormais limités à 1 Mi ; cela peut être configuré via les paramètres si vous avez besoin d’une limite plus grande. Les points de terminaison d’authentification de Rancher sont configurés indépendamment de l’API publique principale (car vous pourriez avoir besoin de charges utiles plus importantes dans les autres points de terminaison de l’API). Supposons que vous ayez besoin d’augmenter la charge utile maximale autorisée pour l’authentification. Dans ce cas, vous pouvez définir la variable d’environnement `CATTLE_AUTH_API_BODY_LIMIT` à une quantité, par exemple, 2 Mi, ce qui permettrait des charges utiles plus importantes pour les points de terminaison d’authentification.	28 août 2025	Rancher v2.12.1, v2.11.5, v2.10.9 et v2.9.11
CVE-2024-52284	Suite à un récent changement excluant les fichiers de valeurs Helm des bundles, un cas particulier subsistait où les fichiers de valeurs référencés dans `fleet.yaml` avec votre nom de répertoire (par exemple, `my-dir/values.yaml` au lieu de `values.yaml`) ne seraient pas exclus, ce qui pourrait potentiellement exposer des données confidentielles dans les ressources du bundle. Les fichiers de valeurs Helm sont désormais exclus des ressources de bundle, peu importe comment vous les référencez.	28 août 2025	Rancher v2.12.1, v2.11.5 et v2.10.9

CVE-2026-25705

Rancher protège désormais contre l’accès arbitraire aux fichiers par parcours de chemin dans les extensions Rancher. Note : par défaut, seuls les utilisateurs ayant des permissions administratives peuvent déployer des extensions UI, sauf si une permission explicite est accordée à d’autres utilisateurs.

30 avril 2026

Rancher v2.14.1, v2.13.5, v2.12.9, et v2.11.13

CVE-2025-62879

Rancher fournit désormais de nouvelles versions du chart de sauvegarde Rancher qui empêchent la fuite de secrets S3 via le journal du pod Rancher Backup.

29 janvier 2026

Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11

CVE-2025-67601

Rancher supprime désormais la possibilité de récupérer les certificats CA stockés dans le paramètre cacerts de Rancher lors de l’utilisation de la commande login.

29 janvier 2026

Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11

CVE-2023-32199

Rancher supprime désormais les ClusterRoleBindings correspondants chaque fois que le GlobalRole administrateur ou ses GlobalRoleBindings sont supprimés. Les ClusterRoleBindings précédemment orphelins étaient marqués avec l’annotation authz.cluster.cattle.io/admin-globalrole-missing=true.

23 octobre 2025

Rancher v2.12.3 et v2.11.7

CVE-2024-58269

Le processus de masquage des journaux d’audit de Rancher a changé comme suit :

Il masque désormais les annotations kubectl.kubernetes.io/last-applied-configuration sur les contenus des corps de réponse et de demande. Auparavant, il ne masquait pas le contenu du corps de réponse.
Il masque désormais les URL d’importation de cluster sur les URL de demande et les en-têtes Referer. Auparavant, il ne masquait pas les en-têtes Referer.

23 octobre 2025

Rancher v2.12.3

CVE-2024-58260

Définir le nom d’utilisateur d’un utilisateur comme étant le même que celui d’un autre utilisateur provoque une erreur lorsque l’un ou l’autre des utilisateurs tente de se connecter. Par conséquent, un utilisateur ayant la permission Manage Users pourrait potentiellement empêcher tout utilisateur, y compris les administrateurs, de se connecter. Pour éviter cela, les noms d’utilisateur sont devenus immuables une fois définis, et il n’est pas possible de mettre à jour ou de créer un utilisateur avec un nom d’utilisateur déjà utilisé.

25 sept. 2025

Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12

CVE-2024-58267

Le CLI de Rancher est modifié pour imprimer le requestId de manière plus visible que dans l’URL de connexion. Il ajoute également un marqueur d’origine cli=true à l’URL. Le tableau de bord est modifié pour reconnaître la présence du requestId et utilise cela pour afficher un message d’avertissement à l’utilisateur, demandant une vérification qu’il a initié une connexion CLI avec l’Id correspondant. L’absence du marqueur d’origine permet au tableau de bord de distinguer entre le CLI modifié et les anciens CLI, et d’ajuster le message en conséquence.

25 sept. 2025

Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12

CVE-2025-54468

Les en-têtes Impersonate-* sont supprimés pour les demandes effectuées via le point de terminaison /meta/proxy de Rancher (par exemple, lors de la création d’identifiants cloud) car les en-têtes peuvent contenir des informations identifiables et/ou sensibles.

25 sept. 2025

Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12

CVE-2024-58259

Les POSTs vers les points de terminaison de l’API Rancher sont désormais limités à 1 Mi ; cela peut être configuré via les paramètres si vous avez besoin d’une limite plus grande. Les points de terminaison d’authentification de Rancher sont configurés indépendamment de l’API publique principale (car vous pourriez avoir besoin de charges utiles plus importantes dans les autres points de terminaison de l’API). Supposons que vous ayez besoin d’augmenter la charge utile maximale autorisée pour l’authentification. Dans ce cas, vous pouvez définir la variable d’environnement CATTLE_AUTH_API_BODY_LIMIT à une quantité, par exemple, 2 Mi, ce qui permettrait des charges utiles plus importantes pour les points de terminaison d’authentification.

28 août 2025

Rancher v2.12.1, v2.11.5, v2.10.9 et v2.9.11

CVE-2024-52284

Suite à un récent changement excluant les fichiers de valeurs Helm des bundles, un cas particulier subsistait où les fichiers de valeurs référencés dans fleet.yaml avec votre nom de répertoire (par exemple, my-dir/values.yaml au lieu de values.yaml) ne seraient pas exclus, ce qui pourrait potentiellement exposer des données confidentielles dans les ressources du bundle. Les fichiers de valeurs Helm sont désormais exclus des ressources de bundle, peu importe comment vous les référencez.

28 août 2025

Rancher v2.12.1, v2.11.5 et v2.10.9