| Title | traefikにおけるアクセス制御に関する脆弱性 |
|---|---|
| Summary | TraefikはHTTPリバースプロキシおよびロードバランサーです。バージョン2.11.46、3.6.17、および3.7.1より前のTraefikのKubernetes Gateway APIプロバイダでは、HTTPRoute作成権限を持つテナントがRESTプロバイダハンドラを公開でき、providers.rest.insecure=false設定をバイパスすることが可能でした。Gatewayプロバイダは名前が@internalで終わる任意のTraefikServiceバックエンド参照を受け入れるため、意図されたapi@internalに加えてrest@internalへのトラフィックルーティングも可能になります。RESTプロバイダが有効な共有Gateway環境では、権限の低いユーザーがTraefikのライブ動的設定を書き込み可能となり、ルータやサービスを不正に再構成できるようになっていました。この脆弱性は2.11.46、3.6.17、および3.7.1のバージョンで修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 15, 2026, midnight |
| Registration Date | May 21, 2026, 10:51 a.m. |
| Last Update | May 21, 2026, 10:51 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| traefik |
| traefik 2.11.46 未満 |
| traefik 3.0.0 以上 3.6.17 未満 |
| traefik 3.7.0 以上 3.7.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月21日] 掲載 |
May 21, 2026, 10:51 a.m. |
| Summary | Traefik is an HTTP reverse proxy and load balancer. Prior to 2.11.46, 3.6.17, and 3.7.1, Traefik's Kubernetes Gateway API provider allows a tenant with HTTPRoute creation permissions to expose the REST provider handler, bypassing the providers.rest.insecure=false setting. The Gateway provider accepts any TraefikService backend reference whose name ends with @internal, making it possible to route traffic to rest@internal in addition to the intended api@internal. In shared Gateway deployments where the REST provider is enabled, this allows a low-privileged actor to gain live dynamic configuration write access to Traefik, enabling unauthorized reconfiguration of routers and services. This vulnerability is fixed in 2.11.46, 3.6.17, and 3.7.1. |
|---|---|
| Publication Date | May 16, 2026, 2:16 a.m. |
| Registration Date | May 17, 2026, 4:12 a.m. |
| Last Update | May 19, 2026, 9:22 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 2.11.46 | ||||
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 3.0.0 | 3.6.17 | |||
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 3.7.0 | 3.7.1 | |||