Одиннадцатого июня 2026 года разработчики Traefik (прокси-сервер и балансировщик нагрузки) опубликовали уведомление об уязвимости, затрагивающей механизм разграничения доступа в провайдере Kubernetes Gateway. Проблема зафиксирована в консультации GHSA-3g6v-2r68-prfc и не имеет номера CVE. Ей присвоен рейтинг 7,5 балла по шкале CVSS v4, что соответствует умеренной степени опасности. Уязвимость позволяет нарушить политику безопасности и получить несанкционированный доступ к внутренним сервисам Traefik.
Детали уязвимости
Под угрозой находятся все версии Traefik до v3.6.20 включительно, а также версии до v3.7.4 включительно. Исправления выпущены в сборках v3.6.21 и v3.7.5. Уязвимость относится к категории CWE-284 (ненормированный контроль доступа) и CWE-863 (неправильная авторизация).
Корень проблемы кроется в реализации провайдера Kubernetes Gateway API (спецификация для управления сетевым трафиком в Kubernetes). При обработке HTTPRoute (ресурс Gateway API, определяющий правила маршрутизации HTTP-запросов), в которых объявлено несколько ссылок на бэкенды с взвешенным алгоритмом Round Robin (WRR), Traefik проверяет список разрешённых пространств имён для целевого "backendRef.namespace", а не для пространства имён самого HTTPRoute. В результате HTTPRoute, созданный в пространстве имён, не включённом в список разрешённых, может сослаться на пространство имён, для которого существует ReferenceGrant (разрешение на ссылки между пространствами имён) из Gateway API, и получить доступ к внутреннему TraefikService.
Такая техника эксплуатации позволяет злоумышленнику, обладающему низкими привилегиями (возможность создавать HTTPRoute и наличие подходящего ReferenceGrant), выставить на плоскость данных внутренние сервисы Traefik: "api@internal", "dashboard@internal" или "rest@internal". Для реализации атаки не требуется изменение статической конфигурации Traefik, RBAC (разграничение доступа на основе ролей) или самого развёртывания.
В случае эксплуатации уязвимости потенциальная атака может привести к раскрытию конфиденциальной информации о конфигурации шлюза и внутренней сети. Злоумышленник может получить доступ к панели управления ("dashboard@internal") или к REST API ("api@internal"), что даёт возможность анализировать состояние маршрутизации, а в некоторых сценариях - изменять поведение балансировщика. Однако следует отметить, что показатели CVSS v4 указывают только на высокую угрозу конфиденциальности (VC:H) и низкую угрозу целостности (VI:L), при этом доступность сервисов не нарушается (VA:N).
В официальном бюллетене безопасности разработчики Traefik поясняют: "Traefik оценивает список разрешённых пространств имён на основе целевого "backendRef.namespace", а не собственного пространства имён маршрута. Как результат, HTTPRoute из неразрешённого пространства имён может ссылаться на TraefikService, такой как "api@internal", через "backendRef.namespace", указывающий на разрешённое пространство имён, для которого существует ReferenceGrant".
Данная уязвимость затрагивает прежде всего организации, использующие Traefik в качестве API-шлюза в средах Kubernetes. Риск усугубляется тем, что для эксплуатации достаточно стандартных прав на создание Gateway API-ресурсов, а не административных привилегий в самом кластере. Это делает проблему актуальной для мультитенантных сред и платформ, где разными командами управляются разные пространства имён.
Организациям, использующим затронутые версии, рекомендуется немедленно установить обновления до v3.6.21 или v3.7.5. Если установка патча временно невозможна, следует вручную проверить существующие ReferenceGrant и HTTPRoute на предмет наличия неразрешённых ссылок на внутренние TraefikService. Также можно ограничить права на создание Gateway API-ресурсов в пространствах имён, не входящих в список разрешённых.
Проблема не является критической по классификации CVSS v4, но её потенциальное влияние на конфиденциальность данных конфигурации и возможность несанкционированного доступа к панели управления требуют пристального внимания со стороны администраторов Kubernetes и ИБ-специалистов.Ссылки
