CVE-2026-32695 CVSS 7.7 高危

CVE-2026-32695 Traefik Knative Provider规则注入漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32695

漏洞类型

规则注入

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Traefik

漏洞概述

Traefik是一个反向代理。在3.6.11和3.7.0-ea.2版本之前，其Knative provider存在漏洞。它在构建路由规则时，未对用户控制的值进行转义，直接插入到反引号界定的表达式中。攻击者可利用此漏洞绕过主机限制，导致多租户环境下的跨租户流量劫持或未授权访问。

技术细节

该漏洞源于Traefik的Knative provider在构建路由规则时存在不安全的构造方式。具体而言，程序将用户可控的输入（如`rules[].hosts[]`和`headers[].exact`）直接插值到反引号界定的Go模板表达式或Traefik规则语法中，且未进行任何转义处理。攻击者可以通过注入特定的Traefik规则语法（例如逻辑运算符`||`）来修改原本的路由逻辑。利用`rules[].hosts[]`字段，攻击者可以注入类似 `Host(`attacker.com`)` 的表达式，结合逻辑或操作，使得原本仅限于特定租户（如`tenant.example.com`）的路由规则失效，从而允许攻击者控制的域名接管流量。在多租户集群环境中，这会导致严重的越权访问和敏感数据泄露风险。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标集群使用了存在漏洞的Traefik版本及Knative provider。

STEP 2

2. 载荷构造

攻击者构造包含Traefik规则语法的恶意载荷，例如在Host字段中注入逻辑或运算符。

STEP 3

3. 漏洞利用

攻击者将包含恶意载荷的配置提交给Knative API，创建或修改Route资源。

STEP 4

4. 规则解析与执行

Traefik的Knative provider读取配置，未经过滤将载荷拼接到路由规则中。

STEP 5

5. 影响达成

生成的路由规则匹配攻击者控制的域名，导致受害服务的流量被劫持或跨租户访问成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Malicious Knative Route configuration demonstrating the injection
apiVersion: serving.knative.dev/v1
kind: Route
metadata:
  name: evil-route
spec:
  traffic:
  - percent: 100
    revisionName: service-revision
  # Attack payload injection into host field
  # Original intent: tenant.example.com
  # Injected payload: "tenant.example.com" || Host(`attacker.com`)
  hostnames:
  - "tenant.example.com" || Host(`attacker.com`)

影响范围

Traefik < 3.6.11

Traefik < 3.7.0-ea.2

防御指南

临时缓解措施

若无法立即升级，应严格限制Knative资源的创建和修改权限，仅允许受信任的用户或服务账户操作，防止攻击者注入恶意规则表达式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表