anchore_overrides,nvd
Traefik
Уязвимости
41
Эксплуатируемые
1
Критический
0
Высокий
23
Топ продуктов
Топ уязвимостей
CVE-2025-32431Traefik (произносится как traffic) — это обратный прокси-сервер и балансировщик нагрузки HTTP. В версиях до 2.11.24, 3.3.6 и 3.4.0-rc2 существует потенциальная уязвимость в Traefik при обработке запросов с использованием сопоставителя PathPrefix, Path или PathRegex.
Когда Traefik настроен на маршрутизацию запросов к бэкэнду с использованием сопоставителя на основе пути, если URL содержит /../ в своем пути, возможно атаковать бэкэнд, доступный через другой маршрутизатор, обходя цепочку промежуточных слоев. Проблема устранена в версиях 2.11.24, 3.3.6 и 3.4.0-rc2. В качестве обходного пути можно добавить правило `PathRegexp` к сопоставителю, чтобы предотвратить совпадение маршрута с `/../` в пути [1].
Источники:
- [1] https://github.com/traefik/traefik/security/advisories/GHSA-6p68-w45g-48j7
- [2] https://github.com/traefik/traefik/pull/11684
- [3] https://github.com/traefik/traefik/releases/tag/v2.11.24
- [4] https://github.com/traefik/traefik/releases/tag/v3.3.6
- [5] https://github.com/traefik/traefik/releases/tag/v3.4.0-rc2
CVE-2024-45410Traefik — это golang, Cloud Native Application Proxy. Когда HTTP-запрос обрабатывается Traefik, определенные HTTP-заголовки, такие как X-Forwarded-Host или X-Forwarded-Port, добавляются Traefik до того, как запрос будет направлен в приложение. Для HTTP-клиента не должно быть возможности удалять или изменять эти заголовки. Поскольку приложение доверяет значению этих заголовков, могут возникнуть проблемы с безопасностью, если их можно изменить. Однако для HTTP/1.1 было обнаружено, что некоторые из этих пользовательских заголовков действительно можно удалить и в некоторых случаях манипулировать ими. Атака основана на поведении HTTP/1.1, когда заголовки можно определить как hop-by-hop через заголовок HTTP Connection. Эта проблема была решена в версиях выпуска 2.11.9 и 3.1.3. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой уязвимости.
CVE-2021-32813Traefik - это обратный HTTP-прокси и балансировщик нагрузки. До версии 2.4.13 существует потенциальная уязвимость заголовка в обработке заголовка Connection в Traefik. Активная эксплуатация этой проблемы маловероятна, поскольку она требует, чтобы удаленный заголовок привел к повышению привилегий, однако команда Traefik решила эту проблему, чтобы предотвратить любое потенциальное злоупотребление. Если у вас есть цепочка промежуточного программного обеспечения Traefik, и один из них устанавливает заголовок запроса, то отправка запроса с определенным заголовком Connection приведет к его удалению до отправки запроса. В этом случае серверная часть не видит заголовок запроса. Исправление доступно в версии 2.4.13. Обходных путей, кроме обновления, не существует.
CVE-2026-40912Traefik - это обратный прокси HTTP и балансировщик нагрузки. До версий 2.11.43, 3.6.14 и 3.7.0-rc.2 существует уязвимость байпсовой аутентификации высокой степени серьезности в промежуточном программном обеспечении Traefik StripPrefixRegex при использовании в сочетании с ForwardAuth, BasicAuth или DigestAuth. Промежуточное повествование соответствует регексу с декодированным путем URL, но использует полученную длину байт, чтобы нарезать процентный сырой путь. Когда точка (или несколько точек) появляется в префиксной части URL, сырой путь после снятия становится точечным сегментом (например, /./admin/secret). ForwardAuth получает этот путь точечного сегмента в X-Forwarded-Uri, который не соответствует шаблонам защищенного пути и, следовательно, позволяет запросить. Затем бэкэнд нормализует сегмент точки до реального пути на RFC 3986 и обслуживает защищенное содержимое Неаутентичный злоумышленник может использовать это против любого бэкенда, который выполняет нормализацию точечного сегмента. Эта проблема была исправлена в версиях 2.11.43, 3.6.14 и 3.7.0-rc.2.
CVE-2026-39858Traefik - это HTTP обратный прокси и балансир нагрузки. До версий 2.11.43, 3.6.14 и 3.7.0-rc.2 существует уязвимость обруча подлинности высокой степени серьезности в промежуточной программе аутентификации на основе ForwardAuth и на основе фрагментов. Логика дезинфекции с пересылеченным заголовком Traefik нацелена только на канонические имена заголовков (например, X-Forwarded-Proto) и не удаляет или не нормализует варианты псевдонимов, которые используют подчеркивания вместо тире (например, X_Forwarded_Proto). Эти недезинфицированные заголовки псевдонимов перенаправляют неповрежденными на бэкэнд аутентификации. Когда бэкэнд нормализует подчеркивание и формы заголовка тире эквивалентно, злоумышленник может ввести поддельный контекст доверия, такой как доверенная схема или хост, через заголовки псевдонимов и обходить аутентификацию на защищенных маршрутах без действительных учетных данных. Эта проблема была исправлена в версиях 2.11.43, 3.6.14 и 3.7.0-rc.2.
CVE-2026-35051Traefik - это обратный прокси HTTP и балансировщик нагрузки. До версий 2.11.43, 3.6.14 и 3.7.0-rc.2 в промежуточном программном обеспечении Traefik ForwardAuth существует уязвимость обхода аутентификации, когда конфигурируется TrustForwardHeader=false, а Traefik развернут за надежным прокси выше по потоку. Эта проблема была исправлена в версиях 2.11.43, 3.6.14 и 3.7.0-rc.2.
CVE-2026-32305Traefik - это обратный прокси и балансир нагрузки HTTP. Версии 2.11.40 и ниже, 3.0.0-beta1 до 3.6.11 и 3.7.0-ea.1 уязвимы для обхода mTLS через логику предварительного нюхания TLS SNI, связанную с фрагментированными пакетами ClientHello. Когда TLS ClientHello фрагментирован по нескольким записям, SNI Traefik может потерпеть неудачу с EOF и вернуть пустой SNI. Затем маршрутизатор TCP возвращается к конфигурации TLS по умолчанию, которая по умолчанию не требует сертификатов клиента. Это позволяет злоумышленнику обходить услуги по обеспечению соблюдения и доступа на уровне маршрута, которые должны требовать взаимной аутентификации TLS. Этот выпуск исправлен в версиях 2.11.41, 3.6.11 и 3.7.0-ea.2.
CVE-2026-29054Traefik - это обратный прокси и балансировщик нагрузки HTTP. От версии 2.11.9 до 2.11.37 и от версии 3.1.3 до 3.6.8 существует потенциальная уязвимость в Traefik, управляющем заголовком Connection с заголовками X-Forwarded. Когда Traefik обрабатывает запросы HTTP/1.1, защита, введенная для предотвращения удаления управляемых Traefik X-Перенаправленных заголовков (таких как X-Real-Ip, X-Forwarded-Host, X-Forwarded-Port и т. Д.) Через заголовок Connection не правильно обрабатывает чувствительность корпуса. Токены Connection сравниваются с защищенными именами заголовков, но фактическое удаление заголовка работает бесчувственно. В результате удаленный неаутентифицированный клиент может использовать строчные токены Connection (например. Соединение: x-real-ip), чтобы обойти защиту и инициировать удаление управляемых Traefik пересылаемых заголовков идентификации. Эта проблема была исправлена в версиях 2.11.38 и 3.6.9.
CVE-2026-26999Traefik - это обратный прокси HTTP и балансир нагрузки. До версий 2.11.38 и 3.6.9 существует потенциальная уязвимость в Traefik, управляющем рукопожатием TLS на TCP-маршрутизаторах. Когда Traefik обрабатывает соединение TLS на маршрутизаторе TCP, крайний срок чтения, используемый для связывания протокола, устраняется до завершения рукопожатия TLS. Когда происходит ошибка чтения рукопожатия TLS, код пытается сделать второе рукопожатие с различными параметрами соединения, бесшумно игнорируя первоначальную ошибку. Дальновержный клиент может использовать это, отправив неполную запись TLS и остановив дальнейшую передачу данных, в результате чего рукопожатие TLS застопорилось на неопределенный срок и удерживая соединения открытыми. Параллельно открывая множество таких заглощенных соединений, злоумышленник может исчерпать дескрипторы и рычаги, ухудшая доступность всех услуг на пораженной точке входа. Эта проблема была исправлена в версиях 2.11.38 и 3.6.9.
CVE-2026-25949Traefik - это обратный прокси HTTP и балансировщик нагрузки. До 3.6.8 существует потенциальная уязвимость в Traefik, управляющего запросами STARTTLS. Неаутентированный клиент может обойти точку входа Traefik с ответом Timeouts.readTimeout, отправив прелюдию 8-байтной прелюдии Postgres SSLRequest (STARTTLS), а затем заглохнув, в результате чего соединения остаются открытыми на неопределенный срок, что приводит к отказу в обслуживании. Эта уязвимость зафиксирована в 3.6.8.
CVE-2026-22045Traefik - это обратный прокси HTTP и балансировщик нагрузки. До 2.11.35 и 3.6.7 существует потенциальная уязвимость в автоматическом генерировании сертификатов Traefik ACME TLS: быстрый путь ACME TLS-ALPN может позволить неаутентичным клиентам связывать процедуры движения и дескрипторы файлов на неопределенный срок, когда включен вызов ACME TLS. Вредоносный клиент может открыть множество подключений, отправить минимальный ClientHello с acme-tls/1, затем перестать отвечать, что приводит к отказу в обслуживании точки входа. Уязвимость фиксируется в 2.11.35 и 3.6.7.
CVE-2024-39321Traefik — это обратный HTTP-прокси и балансировщик нагрузки. Версии до 2.11.6, 3.0.4 и 3.1.0-rc3 имеют уязвимость, которая позволяет обходить списки разрешенных IP-адресов с помощью запросов ранних данных HTTP/3 в QUIC 0-RTT-рукопожатиях, отправленных с поддельными IP-адресами. Версии 2.11.6, 3.0.4 и 3.1.0-rc3 содержат исправление этой проблемы. Никаких известных обходных путей не существует.
CVE-2024-28869Traefik - это обратный HTTP-прокси и балансировщик нагрузки. В затронутых версиях отправка GET-запроса к любой конечной точке Traefik с заголовком запроса "Content-length" приводит к неопределенному зависанию с конфигурацией по умолчанию. Злоумышленники могут использовать эту уязвимость для вызова отказа в обслуживании. Эта уязвимость была устранена в версиях 2.11.2 и 3.0.0-rc5. Пользователям рекомендуется выполнить обновление. Для затронутых версий эту уязвимость можно смягчить, настроив параметр readTimeout.
CVE-2023-47633Traefik — это обратный HTTP-прокси и балансировщик нагрузки с открытым исходным кодом. Docker-контейнер traefik использует 100% ЦП, когда он служит своим собственным внутренним сервером, что является автоматически сгенерированным маршрутом, возникающим в результате интеграции Docker в конфигурации по умолчанию. Эта проблема устранена в версиях 2.10.6 и 3.0.0-beta5. Пользователям рекомендуется выполнить обновление. Известных обходных путей для этой уязвимости нет.
CVE-2023-44487Протокол HTTP/2 допускает отказ в обслуживании (потребление ресурсов сервера), поскольку отмена запроса может быстро сбросить множество потоков, как это было использовано в реальных условиях с августа по октябрь 2023 года.
CVE-2023-29013Traefik (произносится как traffic) — это современный HTTP обратный прокси и балансировщик нагрузки для развертывания микросервисов. Существует уязвимость в Go при разборе HTTP-заголовков, которая затрагивает Traefik. Разбор HTTP-заголовков может выделять значительно больше памяти, чем необходимо для хранения разобранных заголовков. Это поведение может быть использовано для вызова отказа в обслуживании. Эта проблема была устранена в версиях 2.9.10 и 2.10.0-rc2.
CVE-2022-39271Traefik (произносится как traffic) — это современный обратный прокси-сервер HTTP и балансировщик нагрузки, который помогает в развертывании микросервисов. Существует потенциальная уязвимость в Traefik при управлении соединениями HTTP/2. Закрывающееся серверное соединение HTTP/2 может зависнуть навсегда из-за последующей фатальной ошибки. Этот режим отказа можно использовать для вызова отказа в обслуживании. Было выпущено исправление в версиях 2.8.8 и 2.9.0-rc5. В настоящее время нет известных обходных путей.
CVE-2022-23632Traefik — это обратный HTTP-прокси и балансировщик нагрузки. До версии 2.6.1 Traefik пропускает конфигурацию безопасности транспортного уровня (TLS) маршрутизатора, когда заголовок хоста является полным доменным именем (FQDN). Для запроса выбор конфигурации TLS может отличаться от выбора маршрутизатора, что подразумевает использование неправильной конфигурации TLS. При отправке запроса с использованием FQDN, обрабатываемого маршрутизатором, настроенным с выделенной конфигурацией TLS, конфигурация TLS возвращается к конфигурации по умолчанию, которая может не соответствовать настроенной. Если включено сглаживание CNAME, выбранной конфигурацией TLS является SNI, а маршрутизация использует значение CNAME, поэтому это может пропустить ожидаемую конфигурацию TLS. Версия 2.6.1 содержит исправление для этой проблемы. В качестве обходного пути можно добавить FDQN в правило хоста. Однако обходного пути нет, если включено сглаживание CNAME.
CVE-2020-9321configurationwatcher.go в Traefik 2.x до 2.1.4 и TraefikEE 2.0.0 неправильно обрабатывает удаление содержимого сертификата из провайдеров перед записью в журнал.
CVE-2019-20894Traefik 2.x, в определенных конфигурациях, позволяет HTTPS-сессиям продолжаться без взаимной проверки TLS в ситуации, когда должна была произойти ошибка ERR_BAD_SSL_CLIENT_AUTH_CERT.
CVE-2019-12452types/types.go в Containous Traefik версий 1.7.x - 1.7.11, когда используется флаг --api и API является общедоступным и открыт без достаточного контроля доступа (что противоречит документации API), позволяет удаленным аутентифицированным пользователям обнаруживать хеши паролей, читая раздел Basic HTTP Authentication или Digest HTTP Authentication, или обнаруживать ключ, читая раздел ClientTLS. Их можно найти в JSON-ответе на запрос /api.
CVE-2018-15598Containous Traefik 1.6.x до версии 1.6.6, при использовании --api, предоставляет конфигурацию и секрет, если отсутствует аутентификация и порт API общедоступен.
CVE-2025-54386В Traefik версий до 2.11.28, 3.4.5 и 3.5.0 существует уязвимость обхода пути в механизме установки плагинов WASM. Злоумышленник может использовать эту уязвимость для записи произвольных файлов на сервере [1].
## Детали:
Уязвимость находится в логике распаковки WASM плагинов, где отсутствует проверка путей при распаковке ZIP-архива.
## Рекомендуемое исправление:
- Обновите Traefik до версий 2.11.28, 3.4.5 или 3.5.0.
Источники:
- [1] https://github.com/traefik/traefik/security/advisories/GHSA-q6gg-9f92-r9wg
- [2] https://github.com/traefik/plugin-service/pull/71
- [3] https://github.com/traefik/plugin-service/pull/72
- [4] https://github.com/traefik/traefik/pull/11911
- [5] https://github.com/traefik/traefik/commit/5ef853a0c53068f69a6c229a5815a0dc6e0a8800
CVE-2026-41181Traefik - это обратный прокси HTTP и балансир нагрузки. До 2.11.44, 3.6.15 и 3.7.0-rc.3 существует уязвимость раскрытия информации в промежутке программного обеспечения Traefik error (страницы пользовательских ошибок). Когда бэкенд возвращает ответ, соответствующий настроенному диапазону состояния, промежуточный повествование пересылает полный набор заголовка исходного запроса, включая авторизацию, файлы cookie и другие материалы аутентификации, в отдельную службу страницы ошибки, а не только минимальный контекст, необходимый для визуализации страницы ошибки. Такое поведение не имеет документов: в документации указано только, что Host перенаправляется по умолчанию, поэтому операторов не предупреждают о том, что конфиденциальные учетные данные распределяются через границы обслуживания. Развертывание с использованием промежуточное ПО ошибок с помощью четкой службы страницы ошибок может непреднамеренно подвергать учетные данные конечного пользователей инфраструктуре, которая не предназначалась для их получения. Эта уязвимость зафиксирована в разделах 2.11.44, 3.6.15 и 3.7,0-rc.3.
CVE-2025-66490Traefik - это обратный прокси HTTP и балансир нагрузки. Для версий до 2.11.32 и 2.11.31 по 3.6.2 запросы с использованием PathPrefix, Path или PathRegex могут обойти нормализацию пути. Когда Traefik использует маршрутизную дорожку, запросы, содержащие URL-кодированные ограниченные символы (/, \, Null, ;, ?, #), могут обойти цепочку промежуточных программ и достичь непреднамеренных бэкэндов. Например, запрос на http://mydomain.example.com/admin%2F может достичь сервиса-a без запуска my-security-middleware, минуя средства контроля безопасности для /admin/. Эта проблема исправлена в версиях 2.11.32 и 3.6.3.