製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

traefikにおけるタイミングの違いに起因する情報漏えいに関する脆弱性

タイトル	traefikにおけるタイミングの違いに起因する情報漏えいに関する脆弱性
概要	TraefikはHTTPリバースプロキシおよびロードバランサーです。バージョン2.11.43、3.6.14、および3.7.0-rc.2より前のバージョンには、TraefikのBasicAuthミドルウェアにタイミングサイドチャネルの脆弱性が存在し、攻撃者が応答時間の差異を通じて有効なユーザー名を列挙できる可能性があります。定数時間のフォールバック秘密値を保持するはずの変数が常に空文字列に解決されるため、定数時間比較が完全なbcrypt評価を行わず、マイクロ秒単位で短絡的に終了してしまいます。これにより元のタイミングオラクル攻撃が再現され、認証応答時間を測定することで存在するユーザーと存在しないユーザーを区別可能になります。この問題はバージョン2.11.43、3.6.14、および3.7.0-rc.2で修正されています。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月30日0:00
登録日	2026年5月7日12:05
最終更新日	2026年5月7日12:05

CVSS3.0 : 低
スコア	3.7
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

影響を受けるシステム

traefik

traefik 2.11.43 未満

traefik 3.0.0 以上 3.6.14 未満

traefik 3.7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41263	https://www.cve.org/CVERecord?id=CVE-2026-41263
National Vulnerability Database (NVD)
2	CVE-2026-41263	https://nvd.nist.gov/vuln/detail/CVE-2026-41263

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-208	https://cwe.mitre.org/data/definitions/208.html

ベンダー情報

No	名前	URL
GitHub
1	BasicAuth middleware: timing side-channel vulnerability Advisory traefik/traefik GitHub	https://github.com/traefik/traefik/security/advisories/GHSA-6x2q-h3cr-8j2h

その他

No	名前	URL
関連文書
1	Release v2.11.43 traefik/traefik GitHub	https://github.com/traefik/traefik/releases/tag/v2.11.43
2	Release v3.6.14 traefik/traefik GitHub	https://github.com/traefik/traefik/releases/tag/v3.6.14
3	Release v3.7.0-rc.2 traefik/traefik GitHub	https://github.com/traefik/traefik/releases/tag/v3.7.0-rc.2

変更履歴

No	変更内容	変更日
1	[2026年05月07日] 掲載	2026年5月7日12:05

NVD脆弱性情報

CVE-2026-41263

概要	Traefik is an HTTP reverse proxy and load balancer. Prior to versions 2.11.43, 3.6.14, and 3.7.0-rc.2, there is a timing side-channel vulnerability in Traefik's BasicAuth middleware that allows an attacker to enumerate valid usernames through response-time differences. The variable intended to hold a constant-time fallback secret always resolves to an empty string, causing the constant-time comparison to short-circuit in microseconds rather than performing a full bcrypt evaluation. This restores the original timing oracle and makes it possible to distinguish existing users from non-existing ones by measuring authentication response times. This issue has been patched in versions 2.11.43, 3.6.14, and 3.7.0-rc.2.
公表日	2026年5月1日6:16
登録日	2026年5月2日4:06
最終更新日	2026年5月2日2:37

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:traefik:traefik::::::::					2.11.43
cpe:2.3:a:traefik:traefik::::::::		3.0.0			3.6.14
cpe:2.3:a:traefik:traefik:3.7.0:ea1::::::
cpe:2.3:a:traefik:traefik:3.7.0:ea2::::::
cpe:2.3:a:traefik:traefik:3.7.0:ea3::::::
cpe:2.3:a:traefik:traefik:3.7.0:rc1::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/traefik/traefik/releases/tag/v2.11.43	security-advisories@github.com
2	https://github.com/traefik/traefik/releases/tag/v3.6.14	security-advisories@github.com
3	https://github.com/traefik/traefik/releases/tag/v3.7.0-rc.2	security-advisories@github.com
4	https://github.com/traefik/traefik/security/advisories/GHSA-6x2q-h3cr-8j2h	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-208	タイミングの違いに起因する情報漏えい	https://cwe.mitre.org/data/definitions/208.html