Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Avisos de Segurança e CVEs

Rancher está comprometida em informar a comunidade sobre questões de segurança em nossos produtos. A Rancher publicará avisos de segurança e CVEs (Vulnerabilidades e Exposições Comuns) para problemas que resolvemos. Novos avisos de segurança também são publicados na página de segurança do GitHub da Rancher página de segurança.

ID Descrição Data Resolução

ID	Descrição	Data	Resolução
CVE-2026-25705	A Rancher agora protege contra acesso a arquivos arbitrários via travessia de caminho nas Extensões da Rancher. Observe que, por padrão, apenas usuários com permissões administrativas podem implantar extensões de UI, a menos que permissão explícita seja concedida a outros usuários.	30 de abril de 2026	Rancher v2.14.1, v2.13.5, v2.12.9 e v2.11.13
CVE-2025-62879	O Rancher agora fornece novas versões do chart do Rancher Backup que evitam o vazamento de credenciais secretas do S3 por meio do log do pod do Rancher Backup.	29 de janeiro de 2026	Rancher v2.13.2, v2.12.6, v2.11.10 e v2.10.11
CVE-2025-67601	A Rancher agora remove a capacidade de buscar certificados CA armazenados nas configurações da Rancher `cacerts` ao usar o comando `login`.	29 de janeiro de 2026	Rancher v2.13.2, v2.12.6, v2.11.10 e v2.10.11
CVE-2023-32199	A Rancher agora remove os ClusterRoleBindings correspondentes sempre que o GlobalRole do administrador ou seus GlobalRoleBindings forem excluídos. Os ClusterRoleBindings anteriormente órfãos foram marcados com a anotação `authz.cluster.cattle.io/admin-globalrole-missing=true`.	23 de outubro de 2025	Rancher v2.12.3 e v2.11.7
CVE-2024-58269	O processo de mascaramento do log de auditoria do Rancher mudou para o seguinte: Agora ele oculta as anotações `kubectl.kubernetes.io/last-applied-configuration` tanto no conteúdo do corpo da Resposta quanto no conteúdo do corpo da Solicitação. Anteriormente, ele não ocultava o conteúdo do corpo da Resposta. Agora ele oculta URLs de Importação de Cluster tanto nas URLs de Requisição quanto nos cabeçalhos Referer. Anteriormente, ele não ocultava os cabeçalhos Referer.	23 de outubro de 2025	Rancher v2.12.3
CVE-2024-58260	Definir o nome de usuário de um usuário como o mesmo nome de usuário de outro usuário causa um erro quando qualquer um dos usuários tenta fazer login. Portanto, um usuário com a permissão `Manage Users` poderia potencialmente impedir qualquer usuário, incluindo administradores, de fazer login. Para evitar isso, os nomes de usuário se tornaram imutáveis uma vez definidos, e não é possível atualizar ou criar um usuário com um nome de usuário que já está em uso.	25 de setembro de 2025	Rancher v2.12.2, v2.11.6, v2.10.10 e v2.9.12
CVE-2024-58267	O Rancher CLI foi modificado para imprimir o `requestId` de forma mais visível do que como parte da URL de login. Ele também adiciona um marcador de origem `cli=true` à URL. O painel foi modificado para reconhecer a presença do `requestId` e usa isso para mostrar uma mensagem de aviso ao usuário, pedindo verificação de que ele iniciou um login via CLI com o Id relacionado. A ausência do marcador de origem permite que o painel distinga entre o CLI modificado e o CLI mais antigo, e ajuste a mensagem de acordo.	25 de setembro de 2025	Rancher v2.12.2, v2.11.6, v2.10.10 e v2.9.12
CVE-2025-54468	Os cabeçalhos `Impersonate-*` são removidos para requisições feitas através do endpoint Rancher `/meta/proxy` (por exemplo, quando credenciais de nuvem estão sendo criadas), pois os cabeçalhos podem conter informações identificáveis e/ou sensíveis.	25 de setembro de 2025	Rancher v2.12.2, v2.11.6, v2.10.10 e v2.9.12
CVE-2024-58259	As requisições POST para os endpoints da API do Rancher agora estão limitadas a 1 Mi; isso é configurável através das configurações se você precisar de um limite maior. Os endpoints de autenticação do Rancher são configurados independentemente da API pública principal (já que você pode precisar de cargas maiores nos outros endpoints da API). Suponha que você precise aumentar a carga máxima permitida para autenticação. Nesse caso, você pode definir a variável de ambiente `CATTLE_AUTH_API_BODY_LIMIT` para uma quantidade, por exemplo, 2 Mi, o que permitiria cargas maiores para os endpoints de autenticação.	28 de agosto de 2025	Rancher v2.12.1, v2.11.5, v2.10.9 e v2.9.11
CVE-2024-52284	Após uma recente mudança excluindo arquivos de valores do Helm de pacotes, um caso extremo subsistiu onde os arquivos de valores referenciados em `fleet.yaml` com o nome do seu diretório (por exemplo, `my-dir/values.yaml` em vez de `values.yaml`) não seriam excluídos, o que poderia potencialmente expor dados confidenciais nos recursos do pacote. Os arquivos de valores do Helm agora estão excluídos dos recursos do pacote, independentemente de como você os referencia.	28 de agosto de 2025	Rancher v2.12.1, v2.11.5 e v2.10.9

CVE-2026-25705

A Rancher agora protege contra acesso a arquivos arbitrários via travessia de caminho nas Extensões da Rancher. Observe que, por padrão, apenas usuários com permissões administrativas podem implantar extensões de UI, a menos que permissão explícita seja concedida a outros usuários.

30 de abril de 2026

Rancher v2.14.1, v2.13.5, v2.12.9 e v2.11.13

CVE-2025-62879

O Rancher agora fornece novas versões do chart do Rancher Backup que evitam o vazamento de credenciais secretas do S3 por meio do log do pod do Rancher Backup.

29 de janeiro de 2026

Rancher v2.13.2, v2.12.6, v2.11.10 e v2.10.11

CVE-2025-67601

A Rancher agora remove a capacidade de buscar certificados CA armazenados nas configurações da Rancher cacerts ao usar o comando login.

29 de janeiro de 2026

Rancher v2.13.2, v2.12.6, v2.11.10 e v2.10.11

CVE-2023-32199

A Rancher agora remove os ClusterRoleBindings correspondentes sempre que o GlobalRole do administrador ou seus GlobalRoleBindings forem excluídos. Os ClusterRoleBindings anteriormente órfãos foram marcados com a anotação authz.cluster.cattle.io/admin-globalrole-missing=true.

23 de outubro de 2025

Rancher v2.12.3 e v2.11.7

CVE-2024-58269

O processo de mascaramento do log de auditoria do Rancher mudou para o seguinte:

Agora ele oculta as anotações kubectl.kubernetes.io/last-applied-configuration tanto no conteúdo do corpo da Resposta quanto no conteúdo do corpo da Solicitação. Anteriormente, ele não ocultava o conteúdo do corpo da Resposta.
Agora ele oculta URLs de Importação de Cluster tanto nas URLs de Requisição quanto nos cabeçalhos Referer. Anteriormente, ele não ocultava os cabeçalhos Referer.

23 de outubro de 2025

Rancher v2.12.3

CVE-2024-58260

Definir o nome de usuário de um usuário como o mesmo nome de usuário de outro usuário causa um erro quando qualquer um dos usuários tenta fazer login. Portanto, um usuário com a permissão Manage Users poderia potencialmente impedir qualquer usuário, incluindo administradores, de fazer login. Para evitar isso, os nomes de usuário se tornaram imutáveis uma vez definidos, e não é possível atualizar ou criar um usuário com um nome de usuário que já está em uso.

25 de setembro de 2025

Rancher v2.12.2, v2.11.6, v2.10.10 e v2.9.12

CVE-2024-58267

O Rancher CLI foi modificado para imprimir o requestId de forma mais visível do que como parte da URL de login. Ele também adiciona um marcador de origem cli=true à URL. O painel foi modificado para reconhecer a presença do requestId e usa isso para mostrar uma mensagem de aviso ao usuário, pedindo verificação de que ele iniciou um login via CLI com o Id relacionado. A ausência do marcador de origem permite que o painel distinga entre o CLI modificado e o CLI mais antigo, e ajuste a mensagem de acordo.

25 de setembro de 2025

Rancher v2.12.2, v2.11.6, v2.10.10 e v2.9.12

CVE-2025-54468

Os cabeçalhos Impersonate-* são removidos para requisições feitas através do endpoint Rancher /meta/proxy (por exemplo, quando credenciais de nuvem estão sendo criadas), pois os cabeçalhos podem conter informações identificáveis e/ou sensíveis.

25 de setembro de 2025

Rancher v2.12.2, v2.11.6, v2.10.10 e v2.9.12

CVE-2024-58259

As requisições POST para os endpoints da API do Rancher agora estão limitadas a 1 Mi; isso é configurável através das configurações se você precisar de um limite maior. Os endpoints de autenticação do Rancher são configurados independentemente da API pública principal (já que você pode precisar de cargas maiores nos outros endpoints da API). Suponha que você precise aumentar a carga máxima permitida para autenticação. Nesse caso, você pode definir a variável de ambiente CATTLE_AUTH_API_BODY_LIMIT para uma quantidade, por exemplo, 2 Mi, o que permitiria cargas maiores para os endpoints de autenticação.

28 de agosto de 2025

Rancher v2.12.1, v2.11.5, v2.10.9 e v2.9.11

CVE-2024-52284

Após uma recente mudança excluindo arquivos de valores do Helm de pacotes, um caso extremo subsistiu onde os arquivos de valores referenciados em fleet.yaml com o nome do seu diretório (por exemplo, my-dir/values.yaml em vez de values.yaml) não seriam excluídos, o que poderia potencialmente expor dados confidenciais nos recursos do pacote. Os arquivos de valores do Helm agora estão excluídos dos recursos do pacote, independentemente de como você os referencia.

28 de agosto de 2025

Rancher v2.12.1, v2.11.5 e v2.10.9