V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-41263
CVE
Средний

Traefik - это обратный прокси HTTP и балансировщик нагрузки. До версий 2.11.43, 3.6.14 и 3.7.0-rc.2 в промежуточном программном обеспечении…

CVSS
6.3
Средний
EPSS
0.00
p28
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Traefik - это обратный прокси HTTP и балансировщик нагрузки. До версий 2.11.43, 3.6.14 и 3.7.0-rc.2 в промежуточном программном обеспечении Traefik BasicAuth есть уязвимость побочного канала, которая позволяет злоумышленнику перечислять действительные имена пользователей через различия во времени ответа. Переменная, предназначенная для хранения постоянного тайна резервного тайна, всегда разрешается в пустой строке, вызывая постоянное сравнение с коротким замыканием в микросекундах, а не выполнение полной оценки bcrypt. Это восстанавливает исходное время оракула и позволяет отличить существующих пользователей от несуществующих, измеряя время отклика аутентификации. Этот вопрос был исправлен в версиях 2.11.43, 3.6.14 и 3.7.0-rc.2.

Теги · CWE
Без аутентификации
CWE-208
CAPEC-462
CAPEC-541
CAPEC-580
Затронутые продукты
Traefik < 2.11.43Traefik 3.0.0–3.6.14Traefik
Вектор CVSS
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: N
Отсутствует (N)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: L
Низкое (L)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.004 · p28
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
traefikОтслеживается
traefik*Отслеживается
traefikОтслеживается
traefikОтслеживается
traefikОтслеживается