CVE-2026-54762
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W Traefik w wersjach od 3.7.0-ea.1 do 3.7.5 wykryto podatność średniego ryzyka w dostawcy Kubernetes Ingress NGINX. Gdy Ingress jawnie włącza BasicAuth lub DigestAuth przez adnotacje auth-type i auth-secret, ale referencjonowany Secret nie może zostać rozwiązany lub sparsowany, Traefik loguje błąd, pomija instalację middleware uwierzytelniającego i nadal emituje router do backendu. Skutkuje to opublikowaniem chronionej trasy bez kontroli dostępu, umożliwiając nieautoryzowany dostęp.
Ocena ryzyka
Organizacja naraża się na nieautoryzowany dostęp do backendów, które miały być chronione uwierzytelnianiem BasicAuth lub DigestAuth. Atakujący może uzyskać dostęp do wrażliwych zasobów bez podania poświadczeń, co może prowadzić do wycieku danych lub naruszenia integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Traefik do wersji 3.7.5 lub nowszej. Dodatkowo warto zweryfikować, czy wszystkie Secret używane w adnotacjach auth-secret są poprawnie skonfigurowane i dostępne.
Oryginalny opis (angielski, źródło NVD)
Traefik is an HTTP reverse proxy and load balancer. From 3.7.0-ea.1 until 3.7.5, there is a medium severity vulnerability in Traefik's Kubernetes Ingress NGINX provider that causes affected routes to fail open. When an Ingress explicitly enables BasicAuth or DigestAuth through the supported nginx.ingress.kubernetes.io/auth-type and auth-secret annotations, but the referenced auth Secret cannot be resolved or parsed, Traefik logs the resolution error, skips installing the authentication middleware, and still emits a router to the backend service. A route that operators intended to protect is therefore published to the data plane without its authentication control, allowing unauthenticated access to the backend. The trigger is an invalid or unresolved auth dependency — a missing, malformed, unreadable, or policy-denied Secret — rather than an intentionally unprotected route. This vulnerability is fixed in 3.7.5.

