Katalog CVE

CVE-2026-54762

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W Traefik w wersjach od 3.7.0-ea.1 do 3.7.5 wykryto podatność średniego ryzyka w dostawcy Kubernetes Ingress NGINX. Gdy Ingress jawnie włącza BasicAuth lub DigestAuth przez adnotacje auth-type i auth-secret, ale referencjonowany Secret nie może zostać rozwiązany lub sparsowany, Traefik loguje błąd, pomija instalację middleware uwierzytelniającego i nadal emituje router do backendu. Skutkuje to opublikowaniem chronionej trasy bez kontroli dostępu, umożliwiając nieautoryzowany dostęp.

Ocena ryzyka

Organizacja naraża się na nieautoryzowany dostęp do backendów, które miały być chronione uwierzytelnianiem BasicAuth lub DigestAuth. Atakujący może uzyskać dostęp do wrażliwych zasobów bez podania poświadczeń, co może prowadzić do wycieku danych lub naruszenia integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Traefik do wersji 3.7.5 lub nowszej. Dodatkowo warto zweryfikować, czy wszystkie Secret używane w adnotacjach auth-secret są poprawnie skonfigurowane i dostępne.

Oryginalny opis (angielski, źródło NVD)

Traefik is an HTTP reverse proxy and load balancer. From 3.7.0-ea.1 until 3.7.5, there is a medium severity vulnerability in Traefik's Kubernetes Ingress NGINX provider that causes affected routes to fail open. When an Ingress explicitly enables BasicAuth or DigestAuth through the supported nginx.ingress.kubernetes.io/auth-type and auth-secret annotations, but the referenced auth Secret cannot be resolved or parsed, Traefik logs the resolution error, skips installing the authentication middleware, and still emits a router to the backend service. A route that operators intended to protect is therefore published to the data plane without its authentication control, allowing unauthenticated access to the backend. The trigger is an invalid or unresolved auth dependency — a missing, malformed, unreadable, or policy-denied Secret — rather than an intentionally unprotected route. This vulnerability is fixed in 3.7.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS