CVE-2026-53622
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W Traefik przed wersją 3.7.3 wykryto krytyczną podatność w konfiguracji TLS dla HTTP/3 (QUIC). Nieuwierzytelniony klient może ominąć wymuszone uwierzytelnienie mTLS dla konkretnego routera, ponieważ uzgadnianie TLS nie obsługuje poprawnie wzorców wildcard (np. *.example.com) ani różnic w wielkości liter w nazwie SNI.
Ocena ryzyka
Atakujący może uzyskać dostęp do chronionych backendów bez wymaganego certyfikatu klienta, co narusza politykę bezpieczeństwa mTLS i może prowadzić do nieautoryzowanego dostępu do wrażliwych zasobów.
Rekomendacja
Niezwłocznie zaktualizuj Traefik do wersji 3.7.3 lub nowszej. Jeśli aktualizacja nie jest możliwa, rozważ tymczasowe wyłączenie HTTP/3 na punktach wejścia, gdzie stosowane są polityki mTLS z regułami wildcard.
Oryginalny opis (angielski, źródło NVD)
Traefik is an HTTP reverse proxy and load balancer. Prior to 3.7.3, there is a critical vulnerability in Traefik's HTTP/3 (QUIC) TLS configuration selection that allows unauthenticated clients to bypass router-specific mTLS enforcement. When HTTP/3 is enabled on an entrypoint, the TLS handshake selects the applicable TLS configuration through an exact, case-sensitive lookup on the SNI value, which fails to match wildcard host patterns (e.g., *.example.com) or case variants of the configured hostname. Because the handshake falls back to the default TLS configuration — which may not require client certificates — a client can complete the QUIC handshake without presenting a certificate, while the subsequent HTTP routing layer still dispatches the request to a backend protected by a router-specific mTLS policy. The issue affects deployments where HTTP/3 is enabled, a router uses a wildcard Host rule or case-insensitive hostname matching, a router-specific TLSOptions enforces client certificate authentication, and UDP access to the entrypoint is reachable by an attacker. This vulnerability is fixed in 3.7.3.

