CVE-2021-36782 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息明文存储。 💥 **后果**：拥有K8s API读取权限的人，可直接拿到敏感数据的明文版本，导致严重泄露。

🔍 **CWE**：CWE-312 (敏感信息明文存储)。 📍 **缺陷点**：Rancher平台内部对敏感数据的加密或保护机制缺失，导致数据以明文形式存在。

🏢 **厂商**：SUSE / Rancher Labs。 📦 **受影响版本**： - 2.5.0 到 2.5.15 - 2.6.0 到 2.6.6

🕵️ **权限要求**：对 Kubernetes API 对象具有 **读取权限**。 📂 **数据获取**：可检索并查看原本应被保护的敏感数据的 **明文版本**。

⚖️ **门槛**：中等。 🔑 **条件**：不需要最高管理员权限，只需具备 **K8s API 读取权限** 即可利用。 🚫 **无需**：用户交互 (UI:N)。

📜 **PoC**：有。 🔗 **链接**：GitHub 上的 Terraform 模块 (fe-ax/tf-cve-2021-36782)，用于快速搭建受影响环境进行演示。 🌍 **在野**：数据未明确提及大规模在野利用，但PoC已公开。

🔎 **自查方法**： 1. 检查 Rancher 版本是否在 2.5.0-2.5.15 或 2.6.0-2.6.6 范围内。 2. 审计 K8s API 权限，确认是否有非特权用户拥有敏感资源读取权。 3. 扫描存储介质中是否存在未加密的敏感配置。

🛡️ **官方修复**：已发布安全公告 (GHSA-g7j7-h4q8-8w2f)。 ✅ **建议**：升级至不受影响的更高版本（如 2.5.16+ 或 2.6.7+）。

🚧 **临时规避**： 1. **最小权限原则**：严格限制对 K8s API 的读取权限，仅授予必要人员。 2. **网络隔离**：限制对 Rancher 管理界面的访问。 3. **监控**：监控对敏感资源 API 的异常读取行为。

⚠️ **优先级**：高。 📈 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H (整体危害高)。 💡 **建议**：立即排查版本，尽快升级或实施权限收紧措施。