Plataforma
go
Componente
github.com/traefik/traefik
Corregido en
2.11.25
3.3.7
3.4.1
1.7.35
Se ha identificado una vulnerabilidad en Traefik, específicamente en los comparadores de ruta (path matchers) dentro del componente github.com/traefik/traefik. Esta vulnerabilidad podría permitir a un atacante manipular las coincidencias de ruta, lo que podría resultar en denegación de servicio u otros comportamientos inesperados. La vulnerabilidad afecta a versiones anteriores a 2.11.24 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
La vulnerabilidad en los comparadores de ruta de Traefik permite a un atacante influir en cómo Traefik enruta el tráfico. Un atacante podría explotar esta vulnerabilidad para crear denegaciones de servicio (DoS) al interrumpir el enrutamiento normal del tráfico. Además, la manipulación de las coincidencias de ruta podría permitir el acceso no autorizado a recursos protegidos o la ejecución de código arbitrario, dependiendo de la configuración específica de Traefik y las aplicaciones que protege. La severidad de la vulnerabilidad se debe a la posibilidad de afectar la disponibilidad del servicio y potencialmente comprometer la confidencialidad e integridad de los datos.
La vulnerabilidad CVE-2025-32431 fue publicada el 22 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing Traefik as a reverse proxy or load balancer, particularly those with complex routing configurations or exposed internal services, are at risk. Environments relying on Traefik for critical infrastructure or sensitive data are especially vulnerable.
• linux / server:
journalctl -u traefik -f | grep -i "path matcher"• generic web:
curl -I <traefik_endpoint> | grep -i "traefik"disclosure
Estado del Exploit
EPSS
0.44% (63% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Traefik a la versión 2.11.24 o superior. Si la actualización inmediata no es posible, se recomienda revisar la configuración de Traefik para asegurar que las reglas de enrutamiento sean lo más restrictivas posible. Implementar reglas de firewall o proxies inversos para limitar el acceso a Traefik desde fuentes no confiables también puede ayudar a reducir el riesgo. Monitorear los logs de Traefik en busca de patrones de tráfico inusuales o intentos de manipulación de rutas es crucial para la detección temprana.
Actualice Traefik a la versión 2.11.24, 3.3.6 o 3.4.0-rc2 o superior. Alternativamente, agregue una regla `PathRegexp` al comparador para evitar que coincida una ruta con `/../` en la ruta.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32431 is a HIGH severity vulnerability in Traefik versions prior to 2.11.24, affecting path matching functionality and potentially allowing unauthorized access.
You are affected if you are running Traefik versions prior to 2.11.24. Check your version and upgrade immediately if vulnerable.
Upgrade Traefik to version 2.11.24 or later to address the vulnerability. Review and tighten your Traefik configuration as an additional precaution.
As of now, there are no publicly known active exploitation campaigns, but the vulnerability's impact warrants vigilance.
Refer to the official Traefik security advisories on their website for the latest information and updates regarding CVE-2025-32431.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.