Plataforma
go
Componente
github.com/traefik/traefik
Corrigido em
2.11.25
3.3.7
3.4.1
1.7.35
Uma vulnerabilidade foi identificada no Traefik, um proxy reverso e balanceador de carga. Esta vulnerabilidade, relacionada à manipulação de correspondência de caminhos, pode permitir que atacantes explorem o software para obter acesso não autorizado. A vulnerabilidade afeta versões anteriores a 2.11.24 e foi publicada em 22 de abril de 2025. A correção está disponível na versão 2.11.24.
A vulnerabilidade em Traefik permite que um atacante manipule a lógica de correspondência de caminhos. Isso pode levar a um acesso não autorizado a recursos protegidos por trás do Traefik, potencialmente permitindo a leitura ou modificação de dados sensíveis. Dependendo da configuração do Traefik e dos serviços que ele protege, o impacto pode variar de um acesso limitado a um comprometimento completo do sistema. A exploração bem-sucedida pode permitir que um atacante contorne as proteções de segurança e execute ações não autorizadas, como a modificação de configurações ou a injeção de código malicioso.
A vulnerabilidade foi publicada em 22 de abril de 2025. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a disponibilidade de recursos para explorar. Não há evidências de exploração ativa no momento da publicação, mas a falta de uma correção imediata pode aumentar o risco. A vulnerabilidade não está listada no KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Organizations utilizing Traefik as a reverse proxy or load balancer, particularly those with complex routing configurations or exposed internal services, are at risk. Environments relying on Traefik for critical infrastructure or sensitive data are especially vulnerable.
• linux / server:
journalctl -u traefik -f | grep -i "path matcher"• generic web:
curl -I <traefik_endpoint> | grep -i "traefik"disclosure
Status do Exploit
EPSS
0.44% (percentil 63%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o Traefik para a versão 2.11.24 ou superior. Se a atualização imediata não for possível, considere implementar regras de firewall ou WAF (Web Application Firewall) para bloquear solicitações maliciosas que tentem explorar a vulnerabilidade. Monitore os logs do Traefik em busca de padrões suspeitos de manipulação de caminhos. Em ambientes de desenvolvimento ou teste, desative temporariamente a correspondência de caminhos para reduzir a superfície de ataque.
Actualice Traefik a la versión 2.11.24, 3.3.6 o 3.4.0-rc2 o superior. Como alternativa, agregue una regla `PathRegexp` al matcher para evitar que coincida una ruta con `/../` en la ruta.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32431 is a HIGH severity vulnerability in Traefik versions prior to 2.11.24, affecting path matching functionality and potentially allowing unauthorized access.
You are affected if you are running Traefik versions prior to 2.11.24. Check your version and upgrade immediately if vulnerable.
Upgrade Traefik to version 2.11.24 or later to address the vulnerability. Review and tighten your Traefik configuration as an additional precaution.
As of now, there are no publicly known active exploitation campaigns, but the vulnerability's impact warrants vigilance.
Refer to the official Traefik security advisories on their website for the latest information and updates regarding CVE-2025-32431.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.