CVE-2023-54365
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
Podatność w Traefik przed wersją 2.10.5 i 3.0.0-beta4 umożliwia atak DoS poprzez szybkie tworzenie i anulowanie strumieni HTTP/2 (technika Rapid Reset). Problem wynika z implementacji HTTP/2 w bibliotece standardowej Go.
Ocena ryzyka
Atakujący może zdalnie wyczerpać zasoby serwera, powodując niedostępność usługi dla użytkowników. Może to prowadzić do przerw w działaniu aplikacji i strat finansowych.
Rekomendacja
Zaleca się natychmiastową aktualizację Traefik do wersji 2.10.5 lub nowszej (dla gałęzi 2.x) oraz do wersji 3.0.0-beta5 lub nowszej (dla gałęzi 3.x).
Oryginalny opis (angielski, źródło NVD)
Traefik before 2.10.5 and 3.0.0-beta4 is affected by a denial-of-service vulnerability in HTTP/2 request handling inherited from the Go standard library's HTTP/2 implementation (CVE-2023-44487 / CVE-2023-39325, the 'Rapid Reset' technique). A remote attacker can rapidly create and cancel HTTP/2 streams to exhaust server resources and cause service unavailability.

