关键漏洞信息 漏洞概述 标题: Unauthenticated stack overflow in /v3-public/authproviders API 发布日期: Feb 28 CVE ID: CVE-2025-23388 严重性: High (8.2/10) 影响范围 受影响版本: - >=2.8.0, =2.9.0, =2.10.0, <2.10.3 修复版本: - 2.8.13 - 2.9.7 - 2.10.3 描述与影响 描述: 在Rancher的/v3-public/authproviders公共API端点中发现了一个未认证的堆栈溢出崩溃,导致拒绝服务(DoS)。 影响: 恶意用户可以提交数据到API,导致Rancher服务器崩溃,但不会写入恶意或不正确的数据。下游集群不受此问题影响。 修复措施 补丁: 移除了特定API的不必要的HTTP方法。 推荐升级版本: v2.8.13, v2.9.7, v2.10.3 CVSS v3 基本指标 攻击向量: Network 攻击复杂度: Low 所需权限: None 用户交互: None 作用范围: Unchanged 机密性影响: None 完整性影响: Low 可用性影响: High 其他信息 参考链接: - SUSE Rancher Security team - Rancher repository - support matrix and product support lifecycle