プラットフォーム
go
コンポーネント
github.com/traefik/traefik
修正版
2.11.25
3.3.7
3.4.1
1.7.35
CVE-2025-32431は、github.com/traefik/traefikにおけるパスマッチング機能の脆弱性です。この脆弱性を悪用されると、攻撃者は意図しないリクエストを処理させることが可能となり、セキュリティ上のリスクが生じます。影響を受けるバージョンは特定されていませんが、Traefikのバージョン2.11.24で修正されています。最新バージョンへのアップデートを推奨します。
この脆弱性は、Traefikのパスマッチングロジックに問題がある場合に発生します。攻撃者は、この問題を悪用して、本来アクセスを制限されているべきリソースに不正にアクセスしたり、悪意のあるリクエストを処理させたりする可能性があります。これにより、機密情報の漏洩、サービス拒否攻撃、またはその他の悪意のある活動につながる可能性があります。特に、複雑なルーティング設定や、外部からのリクエストを処理する環境において、この脆弱性の影響が大きくなる可能性があります。
CVE-2025-32431は、2025年4月22日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。この脆弱性の悪用可能性は、公開されている情報が少ないため、現時点では評価が困難です。
Organizations utilizing Traefik as a reverse proxy or load balancer, particularly those with complex routing configurations or exposed internal services, are at risk. Environments relying on Traefik for critical infrastructure or sensitive data are especially vulnerable.
• linux / server:
journalctl -u traefik -f | grep -i "path matcher"• generic web:
curl -I <traefik_endpoint> | grep -i "traefik"disclosure
エクスプロイト状況
EPSS
0.44% (63% パーセンタイル)
CISA SSVC
この脆弱性に対する最も効果的な対策は、Traefikをバージョン2.11.24以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、パスマッチングルールを厳密に設定し、不要なパターンを排除することで、攻撃対象領域を縮小することができます。また、Webアプリケーションファイアウォール(WAF)やリバースプロキシを使用して、悪意のあるリクエストをフィルタリングすることも有効です。アップデート後、設定ファイルを確認し、意図しないルーティングが発生していないか検証してください。
Actualice Traefik a la versión 2.11.24, 3.3.6 o 3.4.0-rc2 o superior. Como alternativa, agregue una regla `PathRegexp` al matcher para evitar que coincida una ruta con `/../` en la ruta.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-32431は、Traefikのパスマッチング機能における脆弱性で、攻撃者が意図しないリクエストを処理させることが可能になる可能性があります。
影響を受けるバージョンは特定されていませんが、Traefikを使用している場合は、最新バージョンへのアップデートを推奨します。
Traefikをバージョン2.11.24以降にアップデートしてください。アップデートが困難な場合は、パスマッチングルールを厳密に設定し、WAFなどの対策を検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。
Traefikの公式アドバイザリは、github.com/traefik/traefikのリポジトリまたはTraefikの公式サイトで確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。