Se ha identificado una vulnerabilidad en Rancher donde un Administrador Restringido puede cambiar la contraseña de los Administradores y tomar el control de sus cuentas. Un Administrador Restringido no debería poder cambiar la contraseña de usuarios con más privilegios a menos que contenga los permisos de Gestionar Usuarios.
Las implementaciones de Rancher en las que no se utiliza el rol de administrador restringido no se ven afectadas por este CVE.
¿Qué es Rancher y qué relación tiene con SUSE?
Rancher es una plataforma de código abierto diseñada para facilitar la administración de clústeres de Kubernetes, que facilita la implementación, monitorización y seguridad de aplicaciones basadas en contenedores. Su objetivo principal es permitir que organizaciones gestionan múltiples clústeres de Kubernetes desde una única interfaz, simplificando considerablemente la operación de contenedores y microservicios en entornos complejos.
En diciembre de 2020, SUSE adquirió Rancher Labs. Esta adquisición permitió a SUSE fortalecer su oferta en infraestructura de nube y Kubernetes, integrando Rancher como una solución central para la administración de contenedores dentro de sus sistemas. Desde entonces, Rancher forma parte integral del ecosistema de SUSE, beneficiándose del respaldo, soporte y desarrollo empresarial ofrecido por esta compañía.
El CVE-2025-23391
El CVE-2025-23391 es una vulnerabilidad de seguridad crítica descubierta en SUSE Rancher. Se clasifica como un caso de asignación incorrecta de privilegios (CWE-266), ya que permite que un usuario con privilegios limitados realice acciones reservadas a administradores de mayor nivel. En concreto, un usuario con rol “Restricted Administrator” (Administrador Restringido) puede cambiar la contraseña de un Administrador y hacerse con el control de su cuenta sin contar con los permisos para ello. Esto supone una violación del principio de privilegios mínimos, ya que un administrador restringido no debería poder cambiar contraseñas de usuarios más privilegiados, salvo que tenga explícitamente el permiso de “Manage Users” (gestión de usuarios). El fallo radica en un control de acceso insuficiente en la interfaz/API de Rancher, que no impide que un rol limitado edite o elimine usuarios con mayores privilegios de los que posee.
La vulnerabilidad afecta a SUSE Rancher (Rancher Manager) en las versiones 2.8.x, 2.9.x y 2.10.x dentro de ciertos rangos. Específicamente, están comprometidas todas las versiones desde 2.8.0 hasta 2.8.13, desde 2.9.0 hasta 2.9.7, y desde 2.10.0 hasta 2.10.3. Rancher 2.11.0 incluyó ya la corrección del problema.
Explotación
Para explotar el fallo, el atacante debe contar previamente con credenciales válidas de un “Administrador Restringido” en Rancher (es decir, un usuario administrador con privilegios limitados). No se requiere interacción de otros usuarios ni condiciones especiales. Aprovechando la sesión con ese rol, el atacante puede acceder al apartado de gestión de usuarios y cambiar la contraseña de una cuenta admin de mayor nivel. Debido a la falta de comprobación de privilegios en esa operación, el cambio se realiza con éxito, permitiendo al atacante iniciar sesión como ese administrador comprometido y heredando todos sus privilegios. En resumen, la vulnerabilidad facilita una escalada de privilegios desde un rol administrativo limitado hasta privilegios de administrador total. Cabe destacar que si la instalación de Rancher no utiliza el rol “Restricted Administrator”, entonces no es vulnerable a este CVE (es decir, despliegues donde todos los admins ya tienen privilegios completos u otros roles personalizados no sufren este problema).
Hasta el momento no se conoce ninguna prueba de concepto (PoC) pública ni exploits activos específicamente dirigidos a esta vulnerabilidad. Dado que explotar el CVE-2025-23391 requiere ya poseer una cuenta de administrador restringido, el riesgo principal proviene de actores internos malintencionados o de atacantes que previamente hayan obtenido credenciales de ese rol por otros medios (p. ej., phishing o otras brechas). No hay indicios de que este fallo haya sido explotada en entornos reales antes de su divulgación, según los reportes públicos disponibles.
Recomendaciones de corrección y/o acciones inmediatas
- Actualizar Rancher a una versión no afectada por el CVE: la solución definitiva es actualizar a las versiones 2.8.14, 2.9.8, 2.10.4 o 2.11.0 (o superiores) que contienen la corrección. La instalación del parche corrije la vulnerabilidad. Todos los entornos Rancher afectados deberían planificar esta actualización lo antes posible.
- Restringir el rol de “Administrador Restringido”: hasta completar la actualización en todos los sistemas, limitar el acceso de cualquier cuenta con este rol solo a usuarios altamente confiables. Revisar quiénes tienen asignado el rol y considerar revocar o reducir los permisos temporalmente. Una opción indicada por el propio proveedor es degradar esas cuentas a roles personalizados con menos privilegios mientras tanto. Esto reduce las posibilidades de explotación en caso de que las credenciales de un admin restringido se vieran comprometidas.
- Auditar usuarios y permisos: realizar una revisión de seguridad de las cuentas de administración en Rancher. Verificar que ninguna cuenta con privilegios limitados tenga capacidades para alterar cuentas de mayor nivel. Tras aplicar el parche, comprobar que el sistema cumple la lógica esperada (es decir, que un admin restringido ya no puede cambiar contraseñas de admins). Adicionalmente, revisar los registros (logs) en busca de actividades inusuales: por ejemplo, intentos de cambio de contraseña de administradores por usuarios no autorizados antes de la actualización. Si se detecta algo sospechoso, aplicar respuestas de seguridad (como forzar cambio de contraseñas, invalidar tokens de sesión, etc.).
- Refuerzo de políticas y monitoreo: implementar controles compensatorios donde sea posible. Por ejemplo, si Rancher lo permite, habilitar alertas o aprobaciones para cambios de contraseñas de cuentas privilegiadas. Aunque el parche soluciona el fallo, mantener vigilancia activa ayuda a detectar cualquier comportamiento anómalo. Asimismo, se recomienda informar al equipo sobre esta incidencia para que comprendan la importancia de las actualizaciones y del principio de privilegio mínimo en la administración diaria.
Siguiendo estos pasos, las organizaciones pueden mitigar el riesgo inmediatamente y asegurar sus despliegues mientras aplican la actualización definitiva. En resumen, actualizar es la solución principal; y hasta hacerlo, reducir la superficie de ataque (limitando accesos) y supervisar de cerca las actividades administrativas proveerá una capa de protección temporal.
Más información:
- https://nvd.nist.gov/vuln/detail/CVE-2025-23391
- https://github.com/rancher/rancher/security/advisories/GHSA-8p83-cpfg-fj3g
- https://www.suse.com/security/cve/CVE-2025-23391.html
Deja una respuesta