CVE-2026-54761
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
Podatność w Traefiku (wersje przed 3.6.21 i 3.7.5) w dostawcy Kubernetes Gateway dotyczy mechanizmu dozwolonych przestrzeni nazw (crossProviderNamespaces). Dla reguł HTTPRoute z wieloma backendRefs (WRR) Traefik błędnie sprawdza dozwoloną listę względem docelowej przestrzeni nazw backendRef, a nie przestrzeni nazw samej trasy. Umożliwia to HTTPRoute z niedozwolonej przestrzeni nazw odwołanie się do wewnętrznych usług Traefika (np. api@internal) poprzez wskazanie backendRef.namespace na dozwoloną przestrzeń nazw objętą ReferenceGrant.
Ocena ryzyka
Eksploatacja pozwala na ujawnienie wewnętrznych usług Traefika na płaszczyźnie danych, co może prowadzić do nieautoryzowanego dostępu do interfejsów zarządzania (dashboard, API, REST) i potencjalnie do przejęcia kontroli nad proxy.
Rekomendacja
Należy niezwłocznie zaktualizować Traefika do wersji 3.6.21 lub 3.7.5. Ograniczyć możliwość tworzenia HTTPRoute i ReferenceGrant tylko do zaufanych użytkowników oraz monitorować logi pod kątem podejrzanych tras.
Oryginalny opis (angielski, źródło NVD)
Traefik is an HTTP reverse proxy and load balancer. Prior to 3.6.21 and 3.7.5, there is a high severity vulnerability in Traefik's Kubernetes Gateway provider affecting the crossProviderNamespaces allowlist. For HTTPRoute rules that declare multiple (WRR) backendRefs, Traefik evaluates the allowlist against the target backendRef.namespace instead of the route's own namespace. As a result, an HTTPRoute created in a namespace that is not allow-listed can reference a cross-provider TraefikService such as api@internal, dashboard@internal or rest@internal by pointing backendRef.namespace at an allow-listed namespace covered by a Gateway API ReferenceGrant, exposing internal Traefik services on the data plane. Exploitation requires the ability to create an accepted HTTPRoute and a matching ReferenceGrant from an allow-listed namespace; it does not require any change to Traefik static configuration, RBAC, or the deployment itself. This vulnerability is fixed in 3.6.21 and 3.7.5.

