В середине мая 2026 года разработчики популярного обратного прокси-сервера и балансировщика нагрузки Traefik выпустили срочные исправления для критической уязвимости, затрагивающей интеграцию с Kubernetes Gateway API. Проблема получила идентификатор CVE-2026-44774 и оценку 7,2 балла по шкале CVSSv4. Она позволяет злоумышленнику с низкими привилегиями в кластере обойти политику безопасности и получить полный доступ к динамической конфигурации прокси.
Уязвимость CVE-2026-44774
Суть уязвимости кроется в механизме обработки внутренних ссылок, которые Traefik использует для взаимодействия со своим REST API. В версиях до v2.11.46, до v3.6.17 и до v3.7.1 поставщик Gateway API (набор правил для управления сетевым доступом в Kubernetes) некорректно проверяет имена целевых сервисов (backend) в ресурсах TraefikService. А именно, он принимает любую ссылку, имя которой заканчивается на "@internal". Это открывает путь к использованию "rest@internal" - специального адреса, предназначенного для внутреннего REST-провайдера.
Поясним техническую сторону. Traefik, работая в кластере Kubernetes, может предоставлять свой REST API для динамического изменения конфигурации. По умолчанию этот API считается небезопасным, поэтому администраторы обычно отключают его с помощью настройки "providers.rest.insecure=false". Однако обнаруженная уязвимость позволяет обойти этот запрет. Злоумышленник, который имеет право создавать ресурсы HTTPRoute (правила маршрутизации HTTP-запросов), может подменить ссылку на целевой сервис так, чтобы трафик направлялся на "rest@internal". В результате даже при отключённом небезопасном доступе злоумышленник получает возможность отправлять команды непосредственно на REST-провайдер.
Последствия такой атаки весьма серьёзны. REST-провайдер в Traefik позволяет изменять все аспекты работы прокси: создавать новые маршруты, перенаправлять трафик на другие серверы, изменять настройки балансировки и даже внедрять вредоносные сертификаты. Таким образом, атакующий может перенаправить трафик легитимных приложений на подконтрольные ему ресурсы, перехватить учётные данные или полностью нарушить работу сервисов. Примечательно, что исходная цель такого доступа - "api@internal" - тоже технически является внутренним сервисом, но он предоставляет только информацию о состоянии и метрики, а не запись конфигурации. То есть уязвимость расширяет поверхность атаки далеко за пределы задуманного.
Согласно бюллетеню безопасности Traefik GHSA-96qj-4jj5-wcjc, опубликованному 11 мая, уязвимость затрагивает все версии до v2.11.45, версии линейки 3.6.x до 3.6.16 включительно и версии 3.7.x до 3.7.0. Исправления уже вышли: v2.11.46, v3.6.17 и v3.7.1. Разработчики рекомендуют немедленно обновиться, особенно если в вашем кластере используется Kubernetes Gateway API и включён REST-провайдер (даже в защищённом режиме). Примечательно, что в описании уязвимости указано низкое влияние на исходную систему (конфиденциальность, целостность, доступность не страдают), но высокое влияние на последующие системы - то есть атака может затронуть другие сервисы, подключённые к прокси.
Важно подчеркнуть, что данная проблема характерна именно для мультитенантных сред, где одним шлюзом пользуются несколько команд или проектов. В таких конфигурациях администратор обычно предоставляет низкоуровневые права на создание HTTPRoute, а высокоуровневые настройки защищает. Уязвимость CVE-2026-44774 позволяет злоумышленнику с минимальными правами эскалировать свои возможности до полного контроля над прокси. Это классический пример некорректной проверки входных данных в механизме распределения доступа.
С точки зрения практической безопасности, администраторам следует выполнить три действия. Во-первых, обновить Traefik до актуальной версии. Во-вторых, проверить логи на предмет подозрительных запросов к "rest@internal" - возможно, атака уже произошла. В-третьих, если использование REST-провайдера не является критически важным, его следует отключить полностью (параметром "providers.rest.enabled=false"). Если же он необходим, нужно строго ограничить доступ к нему посредством сетевых политик и межсетевого экрана (firewall).
На момент публикации эксперты не зафиксировали активных эксплуатаций этой уязвимости в дикой природе, однако металлы безопасности уже внесли её в свои базы данных - CVE-2026-44774. Оценка в 7,2 балла по CVSSv4 указывает на средний уровень критичности, но высокая сложность эксплуатации отсутствует, а вектор атаки - сетевая удалённая без взаимодействия с пользователем. Это означает, что автоматические сканеры могут быстро начать поиск уязвимых экземпляров.
В заключение стоит отметить, что Traefik - один из самых популярных прокси для Kubernetes, его используют тысячи компаний, включая крупные банки и технологические платформы. Обновление до исправленных версий должно быть выполнено в приоритетном порядке, чтобы не допустить компрометации инфраструктуры. Данный инцидент ещё раз напоминает о важности регулярного аудита конфигураций и своевременной установки патчей безопасности, особенно в средах с совместным использованием одного шлюза несколькими арендаторами.
Ссылки
