安全公告和漏洞

Rancher 致力于向社区通报我们产品中的安全问题。Rancher 将发布安全公告和 CVE（常见漏洞和暴露点）以解决我们已解决的问题。新的安全公告也会在 Rancher 的 GitHub 安全页面上发布。

ID 说明日期分辨率

ID	说明	日期	分辨率
CVE-2026-41053	Fixed a security vulnerability in the GitHub App authentication provider where users incorrectly inherited permissions from all teams within their GitHub organization, rather than only the specific teams to which they belonged. Upon upgrading, Rancher automatically triggers a mandatory refresh of all affected user `principals` to remove these incorrectly assigned team memberships and restore proper access.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6
CVE-2026-41052	Updated the permissions of the built-in `project-owner` role to no longer include the `updatepsa` verb. This prevents users with this role from bypassing restricted PSA policies or deploying privileged workloads within their projects. If your organization requires users to retain this capability, administrators must create a custom project role that explicitly grants the `updatepsa` verb for the project resource.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6, v2.12.10
CVE-2026-44939	Rancher now validates the `authImage` parameter in cluster import manifests to prevent YAML injection attacks.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6, v2.12.10, v2.11.14, and v2.10.12
CVE-2026-25705	Rancher 现在通过路径遍历保护 Rancher 扩展免受任意文件访问。请注意，默认情况下，只有具有管理权限的用户可以部署 UI 扩展，除非明确授予其他用户权限。	2026 年 4 月 30 日	Rancher v2.14.1、 v2.13.5、 v2.12.9 和 v2.11.13
CVE-2025-62879	Rancher 现在提供新的 Rancher 备份图表版本，防止通过 Rancher 备份 pod 日志泄露秘密 S3 凭证。	2026 年 1 月 29 日	Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11
CVE-2025-67601	Rancher 现在在使用 `login` 命令时，移除了获取存储在 Rancher 设置 `cacerts` 中的 CA 证书的能力。	2026 年 1 月 29 日	Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11
CVE-2023-32199	Rancher 现在在删除管理员 GlobalRole 或其 GlobalRoleBindings 时，移除相应的 ClusterRoleBindings。之前孤立的 ClusterRoleBindings 被标记为 `authz.cluster.cattle.io/admin-globalrole-missing=true` 注解。	2025 年 10 月 23 日	Rancher v2.12.3 和 v2.11.7
CVE-2024-58269	Rancher 审计日志的脱敏过程已更改为以下内容：现在会对响应和请求体内容中的 `kubectl.kubernetes.io/last-applied-configuration` 注解进行脱敏。之前不会对响应体内容进行脱敏。现在会对请求 URL 和 Referer 头中的集群导入 URL 进行脱敏。之前不会对 Referer 头进行脱敏。	2025 年 10 月 23 日	Rancher v2.12.3
CVE-2024-58260	将某个用户的用户名设置为与另一用户相同，会导致任一用户尝试登录时出现错误。因此，拥有 `Manage Users` 权限的用户可能会阻止任何用户（包括管理员）登录。为防止这种情况，用户名一经设置即不可更改，且无法用已被使用的用户名更新或创建用户。	2025 年 9 月 25 日	Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12
CVE-2024-58267	Rancher CLI 被修改为比登录 URL 更明显地打印 `requestId`。它还向 URL 添加了 `cli=true` 来源标记。仪表板被修改为识别 `requestId` 的存在，并利用这一点向用户显示警告消息，询问他们是否确认以相关 Id 发起了 CLI 登录。缺少来源标记使仪表板能够区分修改后的 CLI 和旧版 CLI，并相应调整消息。	2025 年 9 月 25 日	Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12
CVE-2025-54468	通过 `/meta/proxy` Rancher 端点发出的请求中移除了 `Impersonate-*` 头（例如，当创建云凭据时），因为这些头可能包含可识别和/或敏感信息。	2025 年 9 月 25 日	Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12
CVE-2024-58259	现在对 Rancher API 端点的 POST 限制为 1 Mi；如果需要更大的限制，可以通过设置进行配置。Rancher 认证端点独立于主公共 API 进行配置（因为您可能需要在其他 API 端点中使用更大的有效负载）。假设您需要增加认证的最大允许有效负载。在这种情况下，您可以将环境变量 `CATTLE_AUTH_API_BODY_LIMIT` 设置为一个数量，例如 2 Mi，这将允许认证端点使用更大的有效负载。	2025 年 8 月 28 日	Rancher v2.12.1、 v2.11.5、 v2.10.9 和 v2.9.11
CVE-2024-52284	在最近的更改中排除了捆绑包中的 Helm 值文件，但存在一种边缘情况：如果在 `fleet.yaml` 中用您的目录名称（例如，`my-dir/values.yaml` 而非 `values.yaml`）引用值文件，这些文件将不会被排除，从而可能在捆绑资源中暴露机密数据。无论您如何引用，Helm 值文件现在都从捆绑资源中排除。	2025 年 8 月 28 日	Rancher v2.12.1、 v2.11.5 和 v2.10.9

CVE-2026-41053

Fixed a security vulnerability in the GitHub App authentication provider where users incorrectly inherited permissions from all teams within their GitHub organization, rather than only the specific teams to which they belonged. Upon upgrading, Rancher automatically triggers a mandatory refresh of all affected user principals to remove these incorrectly assigned team memberships and restore proper access.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6

CVE-2026-41052

Updated the permissions of the built-in project-owner role to no longer include the updatepsa verb. This prevents users with this role from bypassing restricted PSA policies or deploying privileged workloads within their projects. If your organization requires users to retain this capability, administrators must create a custom project role that explicitly grants the updatepsa verb for the project resource.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6, v2.12.10

CVE-2026-44939

Rancher now validates the authImage parameter in cluster import manifests to prevent YAML injection attacks.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6, v2.12.10, v2.11.14, and v2.10.12

CVE-2026-25705

Rancher 现在通过路径遍历保护 Rancher 扩展免受任意文件访问。请注意，默认情况下，只有具有管理权限的用户可以部署 UI 扩展，除非明确授予其他用户权限。

2026 年 4 月 30 日

Rancher v2.14.1、 v2.13.5、 v2.12.9 和 v2.11.13

CVE-2025-62879

Rancher 现在提供新的 Rancher 备份图表版本，防止通过 Rancher 备份 pod 日志泄露秘密 S3 凭证。

2026 年 1 月 29 日

Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11

CVE-2025-67601

Rancher 现在在使用 login 命令时，移除了获取存储在 Rancher 设置 cacerts 中的 CA 证书的能力。

2026 年 1 月 29 日

Rancher v2.13.2、 v2.12.6、 v2.11.10 和 v2.10.11

CVE-2023-32199

Rancher 现在在删除管理员 GlobalRole 或其 GlobalRoleBindings 时，移除相应的 ClusterRoleBindings。之前孤立的 ClusterRoleBindings 被标记为 authz.cluster.cattle.io/admin-globalrole-missing=true 注解。

2025 年 10 月 23 日

Rancher v2.12.3 和 v2.11.7

CVE-2024-58269

Rancher 审计日志的脱敏过程已更改为以下内容：

现在会对响应和请求体内容中的 kubectl.kubernetes.io/last-applied-configuration 注解进行脱敏。之前不会对响应体内容进行脱敏。
现在会对请求 URL 和 Referer 头中的集群导入 URL 进行脱敏。之前不会对 Referer 头进行脱敏。

2025 年 10 月 23 日

Rancher v2.12.3

CVE-2024-58260

将某个用户的用户名设置为与另一用户相同，会导致任一用户尝试登录时出现错误。因此，拥有 Manage Users 权限的用户可能会阻止任何用户（包括管理员）登录。为防止这种情况，用户名一经设置即不可更改，且无法用已被使用的用户名更新或创建用户。

2025 年 9 月 25 日

Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12

CVE-2024-58267

Rancher CLI 被修改为比登录 URL 更明显地打印 requestId。它还向 URL 添加了 cli=true 来源标记。仪表板被修改为识别 requestId 的存在，并利用这一点向用户显示警告消息，询问他们是否确认以相关 Id 发起了 CLI 登录。缺少来源标记使仪表板能够区分修改后的 CLI 和旧版 CLI，并相应调整消息。

2025 年 9 月 25 日

Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12

CVE-2025-54468

通过 /meta/proxy Rancher 端点发出的请求中移除了 Impersonate-* 头（例如，当创建云凭据时），因为这些头可能包含可识别和/或敏感信息。

2025 年 9 月 25 日

Rancher v2.12.2、 v2.11.6、 v2.10.10 和 v2.9.12

CVE-2024-58259

现在对 Rancher API 端点的 POST 限制为 1 Mi；如果需要更大的限制，可以通过设置进行配置。Rancher 认证端点独立于主公共 API 进行配置（因为您可能需要在其他 API 端点中使用更大的有效负载）。假设您需要增加认证的最大允许有效负载。在这种情况下，您可以将环境变量 CATTLE_AUTH_API_BODY_LIMIT 设置为一个数量，例如 2 Mi，这将允许认证端点使用更大的有效负载。

2025 年 8 月 28 日

Rancher v2.12.1、 v2.11.5、 v2.10.9 和 v2.9.11

CVE-2024-52284

在最近的更改中排除了捆绑包中的 Helm 值文件，但存在一种边缘情况：如果在 fleet.yaml 中用您的目录名称（例如，my-dir/values.yaml 而非 values.yaml）引用值文件，这些文件将不会被排除，从而可能在捆绑资源中暴露机密数据。无论您如何引用，Helm 值文件现在都从捆绑资源中排除。

2025 年 8 月 28 日

Rancher v2.12.1、 v2.11.5 和 v2.10.9