CVE-2026-33433 CVSS 8.8 高危

CVE-2026-33433 Traefik HTTP头注入导致身份绕过漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33433

漏洞类型

HTTP头注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Traefik

漏洞概述

Traefik是一款开源的HTTP反向代理和负载均衡器。在受影响版本中，若配置项`headerField`使用了非规范的HTTP头名称（如小写的`x-auth-user`），已认证攻击者可利用规范头（如`X-Auth-User`）进行注入。由于后端优先解析规范头，攻击者注入的值会覆盖Traefik配置的值，从而冒充任意身份访问后端服务。该漏洞CVSS评分为8.8，影响系统机密性、完整性与可用性。

技术细节

该漏洞源于HTTP头名称规范化处理的不一致性。当Traefik配置使用非规范头名称（例如`x-auth-user`）转发身份信息时，它会保留原始格式。攻击者可向请求中注入同名的规范头（例如`X-Auth-User`）。当请求到达后端时，后端服务器通常会对头名称进行规范化。由于HTTP允许同名字段重复，且后端解析逻辑往往优先处理规范格式，攻击者注入的规范头值会覆盖Traefik转发的非规范头值。这使得攻击者能篡改传递给后端的身份验证信息，绕过安全检查并提升权限。

攻击链分析

STEP 1

侦察

攻击者确定目标使用Traefik，并发现其配置中使用了非规范HTTP头名称（如x-auth-user）来传递用户身份。

STEP 2

注入

攻击者向Traefik发送经过精心构造的HTTP请求，在请求头中添加同名的规范版本头（如X-Auth-User），并将其值设置为想要冒充的用户（如admin）。

STEP 3

Traefik接收到请求后，根据自身配置，在请求中添加了非规范的头（x-auth-user）。此时请求中存在两个相似的头字段。

STEP 4

解析与覆盖

请求被转发至后端服务。后端应用在解析头时，优先读取或覆盖处理了攻击者注入的规范头（X-Auth-User），忽略了Traefik添加的非规范头。

STEP 5

权限提升

后端应用基于被篡改的头字段验证身份，误认为请求来自管理员，从而授予攻击者高权限访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL proxied by Traefik
url = "http://target-backend/api/data"

# Attacker injects the canonical header name
# Assuming Traefik is configured to add 'x-auth-user' (non-canonical)
headers = {
    "User-Agent": "PoC-Client/1.0",
    "X-Auth-User": "admin"  # Injecting canonical version to impersonate admin
}

response = requests.get(url, headers=headers)

if response.status_code == 200:
    print("[+] Exploit successful! Impersonated as admin.")
    print("[+] Response:", response.text)
else:
    print("[-] Exploit failed")

影响范围

Traefik < 2.11.42

Traefik < 3.6.11

Traefik < 3.7.0-ea.3

防御指南

临时缓解措施

如果无法立即升级，请立即审查Traefik配置，确保所有涉及身份验证或敏感信息的HTTP头字段（headerField）均使用符合RFC标准的规范名称（例如使用X-Auth-User而非x-auth-user），以防止攻击者利用大小写差异进行头注入攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表