本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

安全公告和漏洞

Rancher 致力于向社区通报我们产品中的安全问题。Rancher 将发布安全公告和 CVE（常见漏洞和暴露点）以解决我们已解决的问题。新的安全公告也会在 Rancher 的 GitHub 安全页面上发布。

ID 说明日期分辨率

ID	说明	日期	分辨率
CVE-2026-25705	Rancher 现在通过路径遍历保护 Rancher 扩展免受任意文件访问。请注意，默认情况下，只有具有管理权限的用户可以部署 UI 扩展，除非明确授予其他用户权限。	2026 年 4 月 30 日	Rancher v2.14.1、 v2.13.5、 v2.12.9 和 v2.11.13
CVE-2025-62879	Rancher 现在提供新的 Rancher 备份图表版本，防止通过 Rancher 备份 pod 日志泄露秘密 S3 凭证。	2026 年 1 月 29 日	Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11
CVE-2025-67601	Rancher 现在在使用 `login` 命令时，移除了获取存储在 Rancher 设置 `cacerts` 中的 CA 证书的能力。	2026 年 1 月 29 日	Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11
CVE-2023-32199	Rancher 现在在删除管理员 GlobalRole 或其 GlobalRoleBindings 时，移除相应的 ClusterRoleBindings。之前孤立的 ClusterRoleBindings 被标记为 `authz.cluster.cattle.io/admin-globalrole-missing=true` 注解。	2025 年 10 月 23 日	Rancher v2.12.3 和 v2.11.7
CVE-2024-58269	Rancher 审计日志的脱敏过程已更改为以下内容：现在会对响应和请求体内容中的 `kubectl.kubernetes.io/last-applied-configuration` 注解进行脱敏。之前不会对响应体内容进行脱敏。现在会对请求 URL 和 Referer 头中的集群导入 URL 进行脱敏。之前不会对 Referer 头进行脱敏。	2025 年 10 月 23 日	Rancher v2.12.3
CVE-2024-58260	将某个用户的用户名设置为与另一用户相同，会导致任一用户尝试登录时出现错误。因此，拥有 `Manage Users` 权限的用户可能会阻止任何用户（包括管理员）登录。为防止这种情况，用户名一经设置即不可更改，且无法用已被使用的用户名更新或创建用户。	2025 年 9 月 25 日	Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12
CVE-2024-58267	Rancher CLI 被修改为比登录 URL 更明显地打印 `requestId`。它还向 URL 添加了 `cli=true` 来源标记。仪表板被修改为识别 `requestId` 的存在，并利用这一点向用户显示警告消息，询问他们是否确认以相关 Id 发起了 CLI 登录。缺少来源标记使仪表板能够区分修改后的 CLI 和旧版 CLI，并相应调整消息。	2025 年 9 月 25 日	Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12
CVE-2025-54468	通过 `/meta/proxy` Rancher 端点发出的请求中移除了 `Impersonate-*` 头（例如，当创建云凭据时），因为这些头可能包含可识别和/或敏感信息。	2025 年 9 月 25 日	Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12
CVE-2024-58259	现在对 Rancher API 端点的 POST 限制为 1 Mi；如果需要更大的限制，可以通过设置进行配置。Rancher 认证端点独立于主公共 API 进行配置（因为您可能需要在其他 API 端点中使用更大的有效负载）。假设您需要增加认证的最大允许有效负载。在这种情况下，您可以将环境变量 `CATTLE_AUTH_API_BODY_LIMIT` 设置为一个数量，例如 2 Mi，这将允许认证端点使用更大的有效负载。	2025 年 8 月 28 日	Rancher v2.12.1、 v2.11.5、 v2.10.9 和 v2.9.11
CVE-2024-52284	在最近的更改中排除了捆绑包中的 Helm 值文件，但存在一种边缘情况：如果在 `fleet.yaml` 中用您的目录名称（例如，`my-dir/values.yaml` 而非 `values.yaml`）引用值文件，这些文件将不会被排除，从而可能在捆绑资源中暴露机密数据。无论您如何引用，Helm 值文件现在都从捆绑资源中排除。	2025 年 8 月 28 日	Rancher v2.12.1、 v2.11.5 和 v2.10.9

CVE-2026-25705

Rancher 现在通过路径遍历保护 Rancher 扩展免受任意文件访问。请注意，默认情况下，只有具有管理权限的用户可以部署 UI 扩展，除非明确授予其他用户权限。

2026 年 4 月 30 日

Rancher v2.14.1、 v2.13.5、 v2.12.9 和 v2.11.13

CVE-2025-62879

Rancher 现在提供新的 Rancher 备份图表版本，防止通过 Rancher 备份 pod 日志泄露秘密 S3 凭证。

2026 年 1 月 29 日

Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11

CVE-2025-67601

Rancher 现在在使用 login 命令时，移除了获取存储在 Rancher 设置 cacerts 中的 CA 证书的能力。

2026 年 1 月 29 日

Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11

CVE-2023-32199

Rancher 现在在删除管理员 GlobalRole 或其 GlobalRoleBindings 时，移除相应的 ClusterRoleBindings。之前孤立的 ClusterRoleBindings 被标记为 authz.cluster.cattle.io/admin-globalrole-missing=true 注解。

2025 年 10 月 23 日

Rancher v2.12.3 和 v2.11.7

CVE-2024-58269

Rancher 审计日志的脱敏过程已更改为以下内容：

现在会对响应和请求体内容中的 kubectl.kubernetes.io/last-applied-configuration 注解进行脱敏。之前不会对响应体内容进行脱敏。
现在会对请求 URL 和 Referer 头中的集群导入 URL 进行脱敏。之前不会对 Referer 头进行脱敏。

2025 年 10 月 23 日

Rancher v2.12.3

CVE-2024-58260

将某个用户的用户名设置为与另一用户相同，会导致任一用户尝试登录时出现错误。因此，拥有 Manage Users 权限的用户可能会阻止任何用户（包括管理员）登录。为防止这种情况，用户名一经设置即不可更改，且无法用已被使用的用户名更新或创建用户。

2025 年 9 月 25 日

Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12

CVE-2024-58267

Rancher CLI 被修改为比登录 URL 更明显地打印 requestId。它还向 URL 添加了 cli=true 来源标记。仪表板被修改为识别 requestId 的存在，并利用这一点向用户显示警告消息，询问他们是否确认以相关 Id 发起了 CLI 登录。缺少来源标记使仪表板能够区分修改后的 CLI 和旧版 CLI，并相应调整消息。

2025 年 9 月 25 日

Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12

CVE-2025-54468

通过 /meta/proxy Rancher 端点发出的请求中移除了 Impersonate-* 头（例如，当创建云凭据时），因为这些头可能包含可识别和/或敏感信息。

2025 年 9 月 25 日

Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12

CVE-2024-58259

现在对 Rancher API 端点的 POST 限制为 1 Mi；如果需要更大的限制，可以通过设置进行配置。Rancher 认证端点独立于主公共 API 进行配置（因为您可能需要在其他 API 端点中使用更大的有效负载）。假设您需要增加认证的最大允许有效负载。在这种情况下，您可以将环境变量 CATTLE_AUTH_API_BODY_LIMIT 设置为一个数量，例如 2 Mi，这将允许认证端点使用更大的有效负载。

2025 年 8 月 28 日

Rancher v2.12.1、 v2.11.5、 v2.10.9 和 v2.9.11

CVE-2024-52284

在最近的更改中排除了捆绑包中的 Helm 值文件，但存在一种边缘情况：如果在 fleet.yaml 中用您的目录名称（例如，my-dir/values.yaml 而非 values.yaml）引用值文件，这些文件将不会被排除，从而可能在捆绑资源中暴露机密数据。无论您如何引用，Helm 值文件现在都从捆绑资源中排除。

2025 年 8 月 28 日

Rancher v2.12.1、 v2.11.5 和 v2.10.9