| タイトル | traefikにおける送信データへの重要な情報の挿入に関する脆弱性 |
|---|---|
| 概要 | TraefikはHTTPリバースプロキシ兼ロードバランサーです。バージョン2.11.44、3.6.15、および3.7.0-rc.3より前のバージョンには、Traefikのerrors(カスタムエラーページ)ミドルウェアに情報漏洩の脆弱性があります。バックエンドが設定されたステータス範囲に一致するレスポンスを返した場合、このミドルウェアは元のリクエストの完全なヘッダーセット(Authorization、Cookie、その他の認証情報を含む)を、エラーページの描画に必要な最小限のコンテキストだけでなく、別のエラーページサービスに転送します。この動作は文書化されておらず、ドキュメントにはデフォルトでHostヘッダーのみが転送されると記載されているため、運用者は機微な認証情報がサービス境界を越えて共有されることに気づきません。異なるエラーページサービスとともにerrorsミドルウェアを使用している環境では、意図しないインフラストラクチャにエンドユーザーの認証情報が漏洩する可能性があります。この脆弱性はバージョン2.11.44、3.6.15、および3.7.0-rc.3で修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月15日0:00 |
| 登録日 | 2026年5月21日10:52 |
| 最終更新日 | 2026年5月21日10:52 |
| CVSS3.0 : 警告 | |
| スコア | 5.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N |
| traefik |
| traefik 2.11.44 未満 |
| traefik 3.0.0 以上 3.6.15 未満 |
| traefik 3.7.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月21日] 掲載 |
2026年5月21日10:52 |
| 概要 | Traefik is an HTTP reverse proxy and load balancer. Prior to 2.11.44, 3.6.15, and 3.7.0-rc.3, there is an information disclosure vulnerability in Traefik's errors (custom error pages) middleware. When the backend returns a response matching the configured status range, the middleware forwards the original request's complete header set, including Authorization, Cookie, and other authentication material, to the separate error page service rather than only the minimal context needed to render the error page. This behavior is undocumented: the documentation states only that Host is forwarded by default, so operators are not warned that sensitive credentials are shared across service boundaries. Deployments using the errors middleware with a distinct error page service may inadvertently expose end-user credentials to infrastructure that was not intended to receive them. This vulnerability is fixed in 2.11.44, 3.6.15, and 3.7.0-rc.3. |
|---|---|
| 公表日 | 2026年5月16日2:16 |
| 登録日 | 2026年5月17日4:12 |
| 最終更新日 | 2026年5月19日21:24 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 2.11.44 | ||||
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 3.0.0 | 3.6.15 | |||
| cpe:2.3:a:traefik:traefik:3.7.0:ea1:*:*:*:*:*:* | |||||
| cpe:2.3:a:traefik:traefik:3.7.0:ea2:*:*:*:*:*:* | |||||
| cpe:2.3:a:traefik:traefik:3.7.0:ea3:*:*:*:*:*:* | |||||
| cpe:2.3:a:traefik:traefik:3.7.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:traefik:traefik:3.7.0:rc2:*:*:*:*:*:* | |||||