この文書は自動機械翻訳技術を使用して翻訳されています。正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。相違がある場合は、元の英語版英語が優先され、正式なテキストとなります。

セキュリティアドバイザリーおよびCVE

Rancherは、私たちの製品におけるセキュリティ問題についてコミュニティに情報を提供することを約束します。Rancherは、解決した問題に関するセキュリティアドバイザリーとCVE（共通脆弱性と露出）を公開します。新しいセキュリティアドバイザリーは、RancherのGitHub セキュリティページにも公開されています。

ID 説明日付解像度

ID	説明	日付	解像度
CVE-2026-41053	Fixed a security vulnerability in the GitHub App authentication provider where users incorrectly inherited permissions from all teams within their GitHub organization, rather than only the specific teams to which they belonged. Upon upgrading, Rancher automatically triggers a mandatory refresh of all affected user `principals` to remove these incorrectly assigned team memberships and restore proper access.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6
CVE-2026-41052	Updated the permissions of the built-in `project-owner` role to no longer include the `updatepsa` verb. This prevents users with this role from bypassing restricted PSA policies or deploying privileged workloads within their projects. If your organization requires users to retain this capability, administrators must create a custom project role that explicitly grants the `updatepsa` verb for the project resource.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6, v2.12.10
CVE-2026-44939	Rancher now validates the `authImage` parameter in cluster import manifests to prevent YAML injection attacks.	27 May 2026	Rancher v2.14.2, Rancher v2.13.6, v2.12.10, v2.11.14, and v2.10.12
CVE-2026-25705	Rancherは、Rancher Extensionsにおけるパストラバーサルを介した任意のファイルアクセスから保護します。デフォルトでは、明示的な許可が他のユーザーに与えられない限り、管理者権限を持つユーザーのみがUI拡張をデプロイできます。	2026年4月30日	Rancher v2.14.1、 v2.13.5、 v2.12.9、および v2.11.13
CVE-2025-62879	Rancherは、Rancher Backupポッドのログを介して秘密のS3資格情報の漏洩を防ぐ新しいRancher Backupチャートのバージョンを提供します。	2026年1月29日	Rancher v2.13.2、 v2.12.6、 v2.11.10、および v2.10.11
CVE-2025-67601	Rancherは、`login`コマンドを使用する際にRancherの設定`cacerts`に保存されたCA証明書を取得する機能を削除します。	2026年1月29日	Rancher v2.13.2、 v2.12.6、 v2.11.10、および v2.10.11
CVE-2023-32199	Rancherは、管理者のGlobalRoleまたはそのGlobalRoleBindingsが削除されると、対応するClusterRoleBindingsも削除します。以前は孤立していたClusterRoleBindingsは、アノテーション`authz.cluster.cattle.io/admin-globalrole-missing=true`でマークされていました。	2025年10月23日	Rancher v2.12.3および v2.11.7
CVE-2024-58269	Rancherの監査ログのマスキング処理プロセスは、次のように変更されました：現在、ResponseおよびRequestの本文内容の`kubectl.kubernetes.io/last-applied-configuration`アノテーションをマスキング処理します。以前はResponse本文の内容をマスキング処理していませんでした。現在、Request URLおよびRefererヘッダーの両方でCluster Import URLをマスキング処理します。以前はRefererヘッダーをマスキング処理していませんでした。	2025年10月23日	Rancher v2.12.3
CVE-2024-58260	他のユーザーのユーザー名と同じユーザー名を設定すると、どちらのユーザーがログインしようとするとエラーが発生します。したがって、`Manage Users`の権限を持つユーザーは、管理者を含む任意のユーザーのログインを拒否する可能性があります。これを防ぐために、一度設定されたユーザー名は不変にされ、すでに使用されているユーザー名でユーザーを更新または作成することはできません。	2025年9月25日	Rancher v2.12.2、 v2.11.6、 v2.10.10、および v2.9.12
CVE-2024-58267	Rancher CLIは、`requestId`をログインURLの一部としてではなく、より目立つように印刷するように修正されています。また、URLに`cli=true`のオリジンマーカーを追加します。ダッシュボードは`requestId`の存在を認識するように修正され、それを使用してユーザーに警告メッセージを表示し、関連するIDでCLIログインを開始したことを確認するように求めます。オリジンマーカーが存在しない場合、ダッシュボードは修正されたCLIと古いCLIを区別し、それに応じてメッセージを調整します。	2025年9月25日	Rancher v2.12.2、 v2.11.6、 v2.10.10、および v2.9.12
CVE-2025-54468	Impersonate-*`ヘッダーは、/meta/proxy` Rancherエンドポイントを介して行われたリクエストに対して削除されます（例：クラウド資格情報が作成されるとき）。これは、ヘッダーに識別可能および/または機密情報が含まれている可能性があるためです。	2025年9月25日	Rancher v2.12.2、 v2.11.6、 v2.10.10、および v2.9.12
CVE-2024-58259	Rancher APIエンドポイントへのPOSTは現在1 Miに制限されています。必要に応じて設定を通じてより大きな制限を設定できます。Rancher認証エンドポイントは、メインの公開APIとは独立して構成されています（他のAPIエンドポイントでより大きなペイロードが必要な場合があります）。認証のために許可される最大ペイロードを増やす必要があるとします。その場合、環境変数`CATTLE_AUTH_API_BODY_LIMIT`を数量（例：2 Mi）に設定することで、認証エンドポイントのためにより大きなペイロードを許可できます。	2025年8月28日	Rancher v2.12.1、 v2.11.5、 v2.10.9、および v2.9.11
CVE-2024-52284	最近の変更により、Helm値ファイルがバンドルから除外されるようになりましたが、fleet.yaml`でディレクトリ（例：`my-dir/values.yaml`ではなく`values.yaml）名を使って参照されている値ファイルは除外されないというエッジケースが残っており、その結果、バンドルリソース内の機密データが露出する可能性がありました。Helm値ファイルは、どのように参照してもバンドルリソースから除外されるようになりました。	2025年8月28日	Rancher v2.12.1、 v2.11.5および v2.10.9

CVE-2026-41053

Fixed a security vulnerability in the GitHub App authentication provider where users incorrectly inherited permissions from all teams within their GitHub organization, rather than only the specific teams to which they belonged. Upon upgrading, Rancher automatically triggers a mandatory refresh of all affected user principals to remove these incorrectly assigned team memberships and restore proper access.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6

CVE-2026-41052

Updated the permissions of the built-in project-owner role to no longer include the updatepsa verb. This prevents users with this role from bypassing restricted PSA policies or deploying privileged workloads within their projects. If your organization requires users to retain this capability, administrators must create a custom project role that explicitly grants the updatepsa verb for the project resource.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6, v2.12.10

CVE-2026-44939

Rancher now validates the authImage parameter in cluster import manifests to prevent YAML injection attacks.

27 May 2026

Rancher v2.14.2, Rancher v2.13.6, v2.12.10, v2.11.14, and v2.10.12

CVE-2026-25705

Rancherは、Rancher Extensionsにおけるパストラバーサルを介した任意のファイルアクセスから保護します。デフォルトでは、明示的な許可が他のユーザーに与えられない限り、管理者権限を持つユーザーのみがUI拡張をデプロイできます。

2026年4月30日

Rancher v2.14.1、 v2.13.5、 v2.12.9、および v2.11.13

CVE-2025-62879

Rancherは、Rancher Backupポッドのログを介して秘密のS3資格情報の漏洩を防ぐ新しいRancher Backupチャートのバージョンを提供します。

2026年1月29日

Rancher v2.13.2、 v2.12.6、 v2.11.10、および v2.10.11

CVE-2025-67601

Rancherは、`login`コマンドを使用する際にRancherの設定`cacerts`に保存されたCA証明書を取得する機能を削除します。

2026年1月29日

Rancher v2.13.2、 v2.12.6、 v2.11.10、および v2.10.11

CVE-2023-32199

Rancherは、管理者のGlobalRoleまたはそのGlobalRoleBindingsが削除されると、対応するClusterRoleBindingsも削除します。以前は孤立していたClusterRoleBindingsは、アノテーション`authz.cluster.cattle.io/admin-globalrole-missing=true`でマークされていました。

2025年10月23日

Rancher v2.12.3および v2.11.7

CVE-2024-58269

Rancherの監査ログのマスキング処理プロセスは、次のように変更されました：

現在、ResponseおよびRequestの本文内容の`kubectl.kubernetes.io/last-applied-configuration`アノテーションをマスキング処理します。以前はResponse本文の内容をマスキング処理していませんでした。
現在、Request URLおよびRefererヘッダーの両方でCluster Import URLをマスキング処理します。以前はRefererヘッダーをマスキング処理していませんでした。

2025年10月23日

Rancher v2.12.3

CVE-2024-58260

他のユーザーのユーザー名と同じユーザー名を設定すると、どちらのユーザーがログインしようとするとエラーが発生します。したがって、`Manage Users`の権限を持つユーザーは、管理者を含む任意のユーザーのログインを拒否する可能性があります。これを防ぐために、一度設定されたユーザー名は不変にされ、すでに使用されているユーザー名でユーザーを更新または作成することはできません。

2025年9月25日

Rancher v2.12.2、 v2.11.6、 v2.10.10、および v2.9.12

CVE-2024-58267

Rancher CLIは、`requestId`をログインURLの一部としてではなく、より目立つように印刷するように修正されています。また、URLに`cli=true`のオリジンマーカーを追加します。ダッシュボードは`requestId`の存在を認識するように修正され、それを使用してユーザーに警告メッセージを表示し、関連するIDでCLIログインを開始したことを確認するように求めます。オリジンマーカーが存在しない場合、ダッシュボードは修正されたCLIと古いCLIを区別し、それに応じてメッセージを調整します。

2025年9月25日

Rancher v2.12.2、 v2.11.6、 v2.10.10、および v2.9.12

CVE-2025-54468

Impersonate-*`ヘッダーは、/meta/proxy` Rancherエンドポイントを介して行われたリクエストに対して削除されます（例：クラウド資格情報が作成されるとき）。これは、ヘッダーに識別可能および/または機密情報が含まれている可能性があるためです。

2025年9月25日

Rancher v2.12.2、 v2.11.6、 v2.10.10、および v2.9.12

CVE-2024-58259

Rancher APIエンドポイントへのPOSTは現在1 Miに制限されています。必要に応じて設定を通じてより大きな制限を設定できます。Rancher認証エンドポイントは、メインの公開APIとは独立して構成されています（他のAPIエンドポイントでより大きなペイロードが必要な場合があります）。認証のために許可される最大ペイロードを増やす必要があるとします。その場合、環境変数`CATTLE_AUTH_API_BODY_LIMIT`を数量（例：2 Mi）に設定することで、認証エンドポイントのためにより大きなペイロードを許可できます。

2025年8月28日

Rancher v2.12.1、 v2.11.5、 v2.10.9、および v2.9.11

CVE-2024-52284

最近の変更により、Helm値ファイルがバンドルから除外されるようになりましたが、fleet.yaml`でディレクトリ（例：`my-dir/values.yaml`ではなく`values.yaml）名を使って参照されている値ファイルは除外されないというエッジケースが残っており、その結果、バンドルリソース内の機密データが露出する可能性がありました。Helm値ファイルは、どのように参照してもバンドルリソースから除外されるようになりました。

2025年8月28日

Rancher v2.12.1、 v2.11.5および v2.10.9