CVE-2026-25705 CVSS 8.4 高危

CVE-2026-25705 Rancher Extensions 代码注入漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25705

漏洞类型

路径穿越、代码注入

CVSS评分

8.4 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Rancher Extensions

漏洞概述

Rancher Extensions 组件存在安全漏洞，攻击者利用 UIPlugin 部署中 compressedEndpoint 字段的路径遍历缺陷，可注入恶意代码。该漏洞允许覆盖 Rancher 二进制文件或配置，篡改集群状态，并在挂载 hostPath 卷时写入宿主机文件系统。

技术细节

该漏洞的根本原因在于 Rancher Extensions 组件处理 UIPlugin 部署请求时，对 `compressedEndpoint` 字段输入的路径缺乏有效过滤。拥有高权限的攻击者能够精心构造包含路径遍历字符（例如 `../`）的恶意 UI 扩展包。当该恶意扩展在 Rancher 环境中被部署或加载时，系统会错误地将文件解压或写入到预期的目录之外。攻击者利用此机制，可以将恶意代码写入 `/var/lib/rancher/` 等敏感路径，覆盖关键二进制文件或配置文件，从而控制集群状态。若环境中配置了 hostPath 卷，攻击范围将进一步扩大至宿主机文件系统，实现容器逃逸并与其他攻击链结合利用。

攻击链分析

STEP 1

步骤1

攻击者获取 Rancher 环境的高权限账户。

STEP 2

步骤2

构造恶意的 UIPlugin 配置文件，在 `compressedEndpoint` 字段中注入路径遍历 Payload（如 `../../../etc/passwd` 或指向二进制路径）。

STEP 3

步骤3

在 Rancher 中部署该恶意 UIPlugin 扩展。

STEP 4

步骤4

Rancher 处理部署请求，利用漏洞将恶意文件写入 `/var/lib/rancher/` 或其他敏感目录，覆盖配置或二进制文件。

STEP 5

步骤5

若存在 hostPath 卷挂载，进一步写入宿主机文件系统，实现容器逃逸或持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Example of a malicious UIPlugin manifest exploiting path traversal
apiVersion: management.cattle.io/v3
kind: UIPlugin
metadata:
  name: malicious-extension
spec:
  # The compressedEndpoint field is vulnerable to path traversal
  # This payload attempts to write to /var/lib/rancher/config/ to overwrite binaries
  compressedEndpoint: "../../../../../var/lib/rancher/config/malicious_payload.js"
  version: "1.0.0"
  # The actual binary/content would be served from this endpoint
  # and written to the traversed path.

影响范围

Rancher Extensions (具体受影响版本请参考官方安全公告 GHSA-5v3h-x4wf-5c35)

防御指南

临时缓解措施

建议立即检查 Rancher 环境中已部署的 UIPlugin，特别是关注 `compressedEndpoint` 字段的异常配置。在未修复前，应严格限制管理员权限，并暂停部署来源不明的扩展。此外，应检查 `/var/lib/rancher/` 目录下是否存在异常修改的文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表