Plateforme
go
Composant
github.com/traefik/traefik
Corrigé dans
2.11.25
3.3.7
3.4.1
1.7.35
Une vulnérabilité a été découverte dans Traefik, affectant les path matchers de la bibliothèque github.com/traefik/traefik. Cette vulnérabilité pourrait permettre à un attaquant de manipuler les requêtes et potentiellement compromettre le service. Les versions concernées sont celles antérieures à 2.11.24. Une correction est disponible dans la version 2.11.24.
La vulnérabilité des path matchers dans Traefik peut permettre à un attaquant de contourner les règles de routage et d'accéder à des ressources non autorisées. Un attaquant pourrait potentiellement injecter des requêtes malveillantes, contourner les mécanismes d'authentification ou d'autorisation, et compromettre la confidentialité et l'intégrité des données. L'impact dépendra de la configuration spécifique de Traefik et des applications qu'il protège, mais pourrait s'étendre à l'ensemble de l'infrastructure exposée via Traefik. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité suggère un risque d'exploitation relativement élevé.
Cette vulnérabilité a été rendue publique le 22 avril 2025. Elle n'est pas encore répertoriée sur le KEV de CISA, ni associée à des campagnes d'exploitation actives connues. Aucun proof-of-concept public n'a été divulgué à ce jour, mais la nature de la vulnérabilité suggère qu'elle pourrait être exploitée relativement facilement.
Organizations utilizing Traefik as a reverse proxy or load balancer, particularly those with complex routing configurations or exposed internal services, are at risk. Environments relying on Traefik for critical infrastructure or sensitive data are especially vulnerable.
• linux / server:
journalctl -u traefik -f | grep -i "path matcher"• generic web:
curl -I <traefik_endpoint> | grep -i "traefik"disclosure
Statut de l'Exploit
EPSS
0.44% (percentile 63%)
CISA SSVC
La mitigation principale consiste à mettre à jour Traefik vers la version 2.11.24 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, examinez attentivement la configuration des path matchers pour identifier et supprimer toute règle potentiellement vulnérable. Envisagez d'utiliser un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes. Surveillez les journaux d'accès et d'erreur de Traefik pour détecter toute activité suspecte. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une analyse comportementale des requêtes peut aider à identifier les tentatives d'exploitation.
Actualice Traefik a la versión 2.11.24, 3.3.6 o 3.4.0-rc2 o superior. Como alternativa, agregue una regla `PathRegexp` al matcher para evitar que coincida una ruta con `/../` en la ruta.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-32431 is a HIGH severity vulnerability in Traefik versions prior to 2.11.24, affecting path matching functionality and potentially allowing unauthorized access.
You are affected if you are running Traefik versions prior to 2.11.24. Check your version and upgrade immediately if vulnerable.
Upgrade Traefik to version 2.11.24 or later to address the vulnerability. Review and tighten your Traefik configuration as an additional precaution.
As of now, there are no publicly known active exploitation campaigns, but the vulnerability's impact warrants vigilance.
Refer to the official Traefik security advisories on their website for the latest information and updates regarding CVE-2025-32431.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.