anonhaven

CVE-2026-26998

MEDIUM CVSS 3.1: 4,4 EPSS 0.04%
Обновлено 6 марта 2026
Traefik
Параметр Значение
CVSS 4,4 (MEDIUM)
Уязвимые версии 3.0.0 — 3.6.9
Устранено в версии 2.11.38
Тип уязвимости CWE-770 (Выделение ресурсов без ограничений)
Поставщик Traefik
Публичный эксплойт Нет

Traefik — это обратный прокси-сервер HTTP и балансировщик нагрузки. До версий 2.11.38 и 3.6.9 существовала потенциальная уязвимость в Traefik, управляющем ответами промежуточного программного обеспечения ForwardAuth. Когда Traefik настроен на использование промежуточного программного обеспечения ForwardAuth, тело ответа от сервера аутентификации полностью считывается в память без каких-либо ограничений по размеру.

Не существует конфигурации maxResponseBodySize, ограничивающей объем данных, считываемых из ответа сервера аутентификации. Если сервер аутентификации возвращает неожиданно большой или неограниченный текст ответа, Traefik выделит неограниченную память, что потенциально может вызвать состояние нехватки памяти (OOM), которое приведет к сбою процесса. Это приводит к отказу в обслуживании для всех маршрутов, обслуживаемых затронутым экземпляром Traefik.

Эта проблема исправлена ​​в версиях 2.11.38 и 3.6.9.

Показать оригинальное описание (EN)

Traefik is an HTTP reverse proxy and load balancer. Prior to versions 2.11.38 and 3.6.9, there is a potential vulnerability in Traefik managing the ForwardAuth middleware responses. When Traefik is configured to use the ForwardAuth middleware, the response body from the authentication server is read entirely into memory without any size limit. There is no maxResponseBodySize configuration to restrict the amount of data read from the authentication server response. If the authentication server returns an unexpectedly large or unbounded response body, Traefik will allocate unlimited memory, potentially causing an out-of-memory (OOM) condition that crashes the process. This results in a denial of service for all routes served by the affected Traefik instance. This issue has been patched in versions 2.11.38 and 3.6.9.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-770 Allocation Without Limits (Выделение ресурсов без ограничений)

Уязвимые продукты 2

Конфигурация От (включительно) До (исключительно)
Traefik Traefik
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:*
 2.11.38
Traefik Traefik
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:*
 3.0.0 3.6.9

Ссылки 3

https://github.com/traefik/traefik/releases/tag/v2.11.38
security-advisories@github.com
https://github.com/traefik/traefik/releases/tag/v3.6.9
security-advisories@github.com
https://github.com/traefik/traefik/security/advisories/GHSA-fw45-f5q2-2p4x
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33433

Traefik

5,1

CVE-2026-32695

Traefik

6,3

CVE-2026-32595

Traefik

6,3

CVE-2026-32305

Traefik

7,8

CVE-2026-29777

Traefik

6,1