| Title | traefikにおける複数の脆弱性 |
|---|---|
| Summary | TraefikはHTTPリバースプロキシ兼ロードバランサーです。3.6.21および3.7.5以前のバージョンには、TraefikのKubernetes GatewayプロバイダにおいてcrossProviderNamespacesの許可リストに関する深刻な脆弱性が存在します。複数の(WRR)backendRefsを宣言するHTTPRouteルールに対して、Traefikはルート自身の名前空間ではなく対象のbackendRef.namespaceに対して許可リストを評価します。その結果、許可されていない名前空間で作成されたHTTPRouteが、Gateway APIのReferenceGrantでカバーされている許可リスト入り名前空間を指すbackendRef.namespaceを利用し、api@internal、dashboard@internal、rest@internalなどのクロスプロバイダTraefikServiceを参照できるため、データプレーン上の内部Traefikサービスが露出してしまいます。悪用には、許可リスト入り名前空間から受け入れられたHTTPRouteおよび対応するReferenceGrantを作成する能力が必要ですが、Traefikの静的構成、RBAC、あるいはデプロイ自体の変更は不要です。この脆弱性は3.6.21および3.7.5で修正されています。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 23, 2026, midnight |
| Registration Date | June 29, 2026, 11:11 a.m. |
| Last Update | June 29, 2026, 11:11 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
| traefik |
| traefik 3.6.21 未満 |
| traefik 3.7.0 以上 3.7.5 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:11 a.m. |
| Summary | Traefik is an HTTP reverse proxy and load balancer. Prior to 3.6.21 and 3.7.5, there is a high severity vulnerability in Traefik's Kubernetes Gateway provider affecting the crossProviderNamespaces allowlist. For HTTPRoute rules that declare multiple (WRR) backendRefs, Traefik evaluates the allowlist against the target backendRef.namespace instead of the route's own namespace. As a result, an HTTPRoute created in a namespace that is not allow-listed can reference a cross-provider TraefikService such as api@internal, dashboard@internal or rest@internal by pointing backendRef.namespace at an allow-listed namespace covered by a Gateway API ReferenceGrant, exposing internal Traefik services on the data plane. Exploitation requires the ability to create an accepted HTTPRoute and a matching ReferenceGrant from an allow-listed namespace; it does not require any change to Traefik static configuration, RBAC, or the deployment itself. This vulnerability is fixed in 3.6.21 and 3.7.5. |
|---|---|
| Publication Date | June 24, 2026, 5:16 a.m. |
| Registration Date | June 27, 2026, 4:15 a.m. |
| Last Update | June 27, 2026, 1:37 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 3.6.21 | ||||
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 3.7.0 | 3.7.5 | |||