Разработчики Traefik выпустили обновление 3.7.5, закрывающее уязвимость средней степени опасности (CVE-2026-54762). Проблема затрагивает поставщика Kubernetes Ingress NGINX - при некорректной обработке секрета аутентификации маршрут публикуется без какой‑либо защиты, что позволяет злоумышленнику получить доступ к сервису, минуя запланированные механизмы контроля.
Уязвимость CVE-2026-54762
Суть уязвимости связана с логикой разрешения аннотаций "nginx.ingress.kubernetes.io/auth-type" и "auth-secret". Если администратор явно включает BasicAuth или DigestAuth через эти аннотации, но указанный Secret отсутствует, повреждён, недоступен из‑за политик RBAC или не может быть корректно разобран (например, из‑за ошибки формата), Traefik регистрирует ошибку в логах, но не устанавливает промежуточное ПО аутентификации. Вместо того чтобы заблокировать маршрут как нерабочий или вернуть ошибку, контроллер продолжает публиковать маршрут к backend‑сервису уже без аутентификационных проверок. Таким образом, ресурс, который оператор намеревался защитить, оказывается доступен любому, кто может достичь сети кластера.
Вектор эксплуатации локальный: атакующий должен обладать способностью влиять на конфигурацию Ingress или иметь доступ к созданию/изменению Secret в кластере (привилегии High). При этом для использования уязвимости не требуется взаимодействия с пользователем, а сложность атаки низкая. Согласно шкале CVSS v4, базовая оценка составляет 5,1 - умеренный уровень. Важно, что хотя непосредственно на уязвимой системе (Traefik) последствий для конфиденциальности, целостности и доступности нет, воздействие на последующую систему (backend‑сервис) оценивается как высокое по конфиденциальности: злоумышленник может получить несанкционированный доступ к данным, которые должны быть защищены аутентификацией.
Проблема классифицируется как CWE-636 (ошибка при чтении конфигурации, приводящая к открытому доступу) и CWE-693 (некорректная обработка отказа - fail‑open). Разработчики Traefik в бюллетене безопасности (GHSA-4mr2-fg2p-w63c) пояснили, что корень уязвимости - в пропуске установки middleware при возникновении ошибки разрешения Secret, в результате чего роутер публикуется без аутентификационной прослойки.
Администраторам Kubernetes‑кластеров, использующих Traefik в качестве Ingress‑контроллера с включённой аутентификацией через аннотации NGINX, следует немедленно обновиться до версии 3.7.5. Альтернативных временных мер, кроме обновления, не рекомендуется - отключение аутентификации на маршрутах или ручная проверка всех Secret не гарантируют защиту, так как ошибка проявляется динамически при каждой перезагрузке конфигурации. После установки патча при некорректном Secret Traefik будет либо генерировать ошибку в маршруте, либо требовать явного указания альтернативного поведения, вместо того чтобы молча пропускать трафик.
Данная уязвимость подчёркивает важность корректной обработки ошибок в инфраструктурных компонентах: даже при явном указании мер защиты непредвиденные сбои в зависимостях могут полностью нивелировать безопасность. Обновление до версии 3.7.5 устраняет риск неавторизованного доступа к сервисам, защищённым через аннотации NGINX, и должно быть выполнено в приоритетном порядке для всех кластеров, где используется BasicAuth или DigestAuth.
Ссылки
