Plataforma
go
Componente
github.com/traefik/traefik
Corregido en
2.11.28
3.0.1
3.5.1
2.11.28
La vulnerabilidad CVE-2025-54386 es una falla de Path Traversal en el plugin del cliente de Traefik, un proxy inverso y balanceador de carga. Esta falla permite a un atacante con acceso al plugin del cliente sobreescribir archivos arbitrarios en el sistema y, en última instancia, ejecutar código de forma remota. La vulnerabilidad afecta a versiones de Traefik anteriores a 2.11.28 y requiere que el plugin del cliente esté habilitado. Se recomienda actualizar a la versión 2.11.28 para mitigar el riesgo.
Un atacante que explote con éxito esta vulnerabilidad podría obtener control total sobre el servidor donde se ejecuta Traefik. Esto incluye la capacidad de leer, modificar o eliminar cualquier archivo al que el usuario de Traefik tenga acceso. La ejecución remota de código (RCE) permite la instalación de malware, el robo de datos confidenciales, y el uso del servidor comprometido como punto de apoyo para ataques a otros sistemas en la red. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial de impacto significativo en la confidencialidad, integridad y disponibilidad del sistema.
La vulnerabilidad CVE-2025-54386 fue publicada el 2025-08-11. Actualmente no se dispone de información sobre campañas de explotación activas. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La naturaleza de Path Traversal sugiere que la explotación podría ser relativamente sencilla una vez que se dispone de un Proof of Concept (PoC) público.
Organizations utilizing Traefik as a reverse proxy, particularly those with the Client Plugin feature enabled, are at risk. This includes environments with custom plugins or integrations, as well as those relying on Traefik for securing critical web applications. Shared hosting environments where multiple users share the same Traefik instance are also at increased risk.
• go / server:
ps aux | grep traefik• go / server:
journalctl -u traefik -f | grep "path traversal"• generic web:
curl -I <traefik_endpoint>/clientplugin/malicious_path• generic web:
grep -r "path traversal" /etc/traefik/traefik.ymldisclosure
Estado del Exploit
EPSS
0.91% (76% percentil)
CISA SSVC
La mitigación principal para CVE-2025-54386 es actualizar Traefik a la versión 2.11.28 o posterior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso al plugin del cliente. Esto se puede lograr configurando reglas de firewall o proxy para bloquear el acceso no autorizado al plugin. Además, se recomienda revisar y endurecer los permisos de los archivos y directorios a los que el usuario de Traefik tiene acceso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando los logs de Traefik en busca de intentos de acceso no autorizados al plugin del cliente.
Actualice Traefik a la versión 2.11.28, 3.4.5 o 3.5.0 (o superior) para corregir la vulnerabilidad de path traversal. Esto evitará la sobrescritura de archivos arbitrarios y la posible ejecución remota de código. Consulte el anuncio de seguridad de Traefik para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54386 is a Remote Code Execution vulnerability in the Traefik Client Plugin, allowing attackers to overwrite files and potentially gain control of the system. It affects versions before 2.11.28.
You are affected if you are using Traefik versions prior to 2.11.28 and have the Client Plugin feature enabled. Check your Traefik version immediately.
Upgrade Traefik to version 2.11.28 or later. If immediate upgrade is not possible, disable the Client Plugin feature as a temporary workaround.
While active exploitation has not been confirmed, the vulnerability's severity and potential impact suggest a medium probability of exploitation. Monitor security advisories for updates.
Refer to the official Traefik security advisory on their website or GitHub repository for detailed information and updates regarding CVE-2025-54386.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.