Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Avis de sécurité et CVEs

Rancher s’engage à informer la communauté des problèmes de sécurité dans nos produits. Rancher publiera des avis de sécurité et des CVEs (Vulnérabilités et Expositions Communes) pour les problèmes que nous avons résolus. De nouveaux avis de sécurité sont également publiés sur la page sécurité de Rancher sur GitHub.

ID Description Date Résolution

ID	Description	Date	Résolution
CVE-2026-41053	Fixed a security vulnerability in the GitHub App authentication provider where users incorrectly inherited permissions from all teams within their GitHub organization, rather than only the specific teams to which they belonged. Upon upgrading, Rancher automatically triggers a mandatory refresh of all affected user `principals` to remove these incorrectly assigned team memberships and restore proper access.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6
CVE-2026-41052	Updated the permissions of the built-in `project-owner` role to no longer include the `updatepsa` verb. This prevents users with this role from bypassing restricted PSA policies or deploying privileged workloads within their projects. If your organization requires users to retain this capability, administrators must create a custom project role that explicitly grants the `updatepsa` verb for the project resource.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6, v2.12.10
CVE-2026-44939	Rancher now validates the `authImage` parameter in cluster import manifests to prevent YAML injection attacks.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6, v2.12.10, v2.11.14, and v2.10.12
CVE-2026-25705	Rancher protège désormais contre l’accès arbitraire aux fichiers par parcours de chemin dans les extensions Rancher. Note : par défaut, seuls les utilisateurs ayant des permissions administratives peuvent déployer des extensions UI, sauf si une permission explicite est accordée à d’autres utilisateurs.	30 avril 2026	Rancher v2.14.1, v2.13.5, v2.12.9, et v2.11.13
CVE-2025-62879	Rancher fournit désormais de nouvelles versions du chart de sauvegarde Rancher qui empêchent la fuite de secrets S3 via le journal du pod Rancher Backup.	29 janvier 2026	Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11
CVE-2025-67601	Rancher supprime désormais la possibilité de récupérer les certificats CA stockés dans le paramètre `cacerts` de Rancher lors de l’utilisation de la commande `login`.	29 janvier 2026	Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11
CVE-2023-32199	Rancher supprime désormais les ClusterRoleBindings correspondants chaque fois que le GlobalRole administrateur ou ses GlobalRoleBindings sont supprimés. Les ClusterRoleBindings précédemment orphelins étaient marqués avec l’annotation `authz.cluster.cattle.io/admin-globalrole-missing=true`.	23 octobre 2025	Rancher v2.12.3 et v2.11.7
CVE-2024-58269	Le processus de masquage des journaux d’audit de Rancher a changé comme suit : Il masque désormais les annotations `kubectl.kubernetes.io/last-applied-configuration` sur les contenus des corps de réponse et de demande. Auparavant, il ne masquait pas le contenu du corps de réponse. Il masque désormais les URL d’importation de cluster sur les URL de demande et les en-têtes Referer. Auparavant, il ne masquait pas les en-têtes Referer.	23 octobre 2025	Rancher v2.12.3
CVE-2024-58260	Définir le nom d’utilisateur d’un utilisateur comme étant le même que celui d’un autre utilisateur provoque une erreur lorsque l’un ou l’autre des utilisateurs tente de se connecter. Par conséquent, un utilisateur ayant la permission `Manage Users` pourrait potentiellement empêcher tout utilisateur, y compris les administrateurs, de se connecter. Pour éviter cela, les noms d’utilisateur sont devenus immuables une fois définis, et il n’est pas possible de mettre à jour ou de créer un utilisateur avec un nom d’utilisateur déjà utilisé.	25 sept. 2025	Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12
CVE-2024-58267	Le CLI de Rancher est modifié pour imprimer le `requestId` de manière plus visible que dans l’URL de connexion. Il ajoute également un marqueur d’origine `cli=true` à l’URL. Le tableau de bord est modifié pour reconnaître la présence du `requestId` et utilise cela pour afficher un message d’avertissement à l’utilisateur, demandant une vérification qu’il a initié une connexion CLI avec l’Id correspondant. L’absence du marqueur d’origine permet au tableau de bord de distinguer entre le CLI modifié et les anciens CLI, et d’ajuster le message en conséquence.	25 sept. 2025	Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12
CVE-2025-54468	Les en-têtes `Impersonate-*` sont supprimés pour les demandes effectuées via le point de terminaison `/meta/proxy` de Rancher (par exemple, lors de la création d’identifiants cloud) car les en-têtes peuvent contenir des informations identifiables et/ou sensibles.	25 sept. 2025	Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12
CVE-2024-58259	Les POSTs vers les points de terminaison de l’API Rancher sont désormais limités à 1 Mi ; cela peut être configuré via les paramètres si vous avez besoin d’une limite plus grande. Les points de terminaison d’authentification de Rancher sont configurés indépendamment de l’API publique principale (car vous pourriez avoir besoin de charges utiles plus importantes dans les autres points de terminaison de l’API). Supposons que vous ayez besoin d’augmenter la charge utile maximale autorisée pour l’authentification. Dans ce cas, vous pouvez définir la variable d’environnement `CATTLE_AUTH_API_BODY_LIMIT` à une quantité, par exemple, 2 Mi, ce qui permettrait des charges utiles plus importantes pour les points de terminaison d’authentification.	28 août 2025	Rancher v2.12.1, v2.11.5, v2.10.9 et v2.9.11
CVE-2024-52284	Suite à un récent changement excluant les fichiers de valeurs Helm des bundles, un cas particulier subsistait où les fichiers de valeurs référencés dans `fleet.yaml` avec votre nom de répertoire (par exemple, `my-dir/values.yaml` au lieu de `values.yaml`) ne seraient pas exclus, ce qui pourrait potentiellement exposer des données confidentielles dans les ressources du bundle. Les fichiers de valeurs Helm sont désormais exclus des ressources de bundle, peu importe comment vous les référencez.	28 août 2025	Rancher v2.12.1, v2.11.5 et v2.10.9

CVE-2026-41053

Fixed a security vulnerability in the GitHub App authentication provider where users incorrectly inherited permissions from all teams within their GitHub organization, rather than only the specific teams to which they belonged. Upon upgrading, Rancher automatically triggers a mandatory refresh of all affected user principals to remove these incorrectly assigned team memberships and restore proper access.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6

CVE-2026-41052

Updated the permissions of the built-in project-owner role to no longer include the updatepsa verb. This prevents users with this role from bypassing restricted PSA policies or deploying privileged workloads within their projects. If your organization requires users to retain this capability, administrators must create a custom project role that explicitly grants the updatepsa verb for the project resource.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6, v2.12.10

CVE-2026-44939

Rancher now validates the authImage parameter in cluster import manifests to prevent YAML injection attacks.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6, v2.12.10, v2.11.14, and v2.10.12

CVE-2026-25705

Rancher protège désormais contre l’accès arbitraire aux fichiers par parcours de chemin dans les extensions Rancher. Note : par défaut, seuls les utilisateurs ayant des permissions administratives peuvent déployer des extensions UI, sauf si une permission explicite est accordée à d’autres utilisateurs.

30 avril 2026

Rancher v2.14.1, v2.13.5, v2.12.9, et v2.11.13

CVE-2025-62879

Rancher fournit désormais de nouvelles versions du chart de sauvegarde Rancher qui empêchent la fuite de secrets S3 via le journal du pod Rancher Backup.

29 janvier 2026

Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11

CVE-2025-67601

Rancher supprime désormais la possibilité de récupérer les certificats CA stockés dans le paramètre cacerts de Rancher lors de l’utilisation de la commande login.

29 janvier 2026

Rancher v2.13.2, v2.12.6, v2.11.10, et v2.10.11

CVE-2023-32199

Rancher supprime désormais les ClusterRoleBindings correspondants chaque fois que le GlobalRole administrateur ou ses GlobalRoleBindings sont supprimés. Les ClusterRoleBindings précédemment orphelins étaient marqués avec l’annotation authz.cluster.cattle.io/admin-globalrole-missing=true.

23 octobre 2025

Rancher v2.12.3 et v2.11.7

CVE-2024-58269

Le processus de masquage des journaux d’audit de Rancher a changé comme suit :

Il masque désormais les annotations kubectl.kubernetes.io/last-applied-configuration sur les contenus des corps de réponse et de demande. Auparavant, il ne masquait pas le contenu du corps de réponse.
Il masque désormais les URL d’importation de cluster sur les URL de demande et les en-têtes Referer. Auparavant, il ne masquait pas les en-têtes Referer.

23 octobre 2025

Rancher v2.12.3

CVE-2024-58260

Définir le nom d’utilisateur d’un utilisateur comme étant le même que celui d’un autre utilisateur provoque une erreur lorsque l’un ou l’autre des utilisateurs tente de se connecter. Par conséquent, un utilisateur ayant la permission Manage Users pourrait potentiellement empêcher tout utilisateur, y compris les administrateurs, de se connecter. Pour éviter cela, les noms d’utilisateur sont devenus immuables une fois définis, et il n’est pas possible de mettre à jour ou de créer un utilisateur avec un nom d’utilisateur déjà utilisé.

25 sept. 2025

Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12

CVE-2024-58267

Le CLI de Rancher est modifié pour imprimer le requestId de manière plus visible que dans l’URL de connexion. Il ajoute également un marqueur d’origine cli=true à l’URL. Le tableau de bord est modifié pour reconnaître la présence du requestId et utilise cela pour afficher un message d’avertissement à l’utilisateur, demandant une vérification qu’il a initié une connexion CLI avec l’Id correspondant. L’absence du marqueur d’origine permet au tableau de bord de distinguer entre le CLI modifié et les anciens CLI, et d’ajuster le message en conséquence.

25 sept. 2025

Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12

CVE-2025-54468

Les en-têtes Impersonate-* sont supprimés pour les demandes effectuées via le point de terminaison /meta/proxy de Rancher (par exemple, lors de la création d’identifiants cloud) car les en-têtes peuvent contenir des informations identifiables et/ou sensibles.

25 sept. 2025

Rancher v2.12.2, v2.11.6, v2.10.10, et v2.9.12

CVE-2024-58259

Les POSTs vers les points de terminaison de l’API Rancher sont désormais limités à 1 Mi ; cela peut être configuré via les paramètres si vous avez besoin d’une limite plus grande. Les points de terminaison d’authentification de Rancher sont configurés indépendamment de l’API publique principale (car vous pourriez avoir besoin de charges utiles plus importantes dans les autres points de terminaison de l’API). Supposons que vous ayez besoin d’augmenter la charge utile maximale autorisée pour l’authentification. Dans ce cas, vous pouvez définir la variable d’environnement CATTLE_AUTH_API_BODY_LIMIT à une quantité, par exemple, 2 Mi, ce qui permettrait des charges utiles plus importantes pour les points de terminaison d’authentification.

28 août 2025

Rancher v2.12.1, v2.11.5, v2.10.9 et v2.9.11

CVE-2024-52284

Suite à un récent changement excluant les fichiers de valeurs Helm des bundles, un cas particulier subsistait où les fichiers de valeurs référencés dans fleet.yaml avec votre nom de répertoire (par exemple, my-dir/values.yaml au lieu de values.yaml) ne seraient pas exclus, ce qui pourrait potentiellement exposer des données confidentielles dans les ressources du bundle. Les fichiers de valeurs Helm sont désormais exclus des ressources de bundle, peu importe comment vous les référencez.

28 août 2025

Rancher v2.12.1, v2.11.5 et v2.10.9