Traefik is an HTTP reverse proxy and load balancer. Prior to versions 2.11.43, 3.6.14, and 3.7.0-rc.2, there is a high severity authentication bypass vulnerability in Traefik's StripPrefixRegex middleware when used in combination with ForwardAuth, BasicAuth, or DigestAuth. The middleware matches the regex against the decoded URL path but uses the resulting byte length to slice the percent-encoded raw path. When a dot (or multiple dots) appears in the prefix portion of the URL, the raw path after stripping becomes a dot-segment (e.g. /./admin/secret). ForwardAuth receives this dot-segment path in X-Forwarded-Uri, which does not match the protected path patterns and therefore allows the request through. The backend then normalizes the dot-segment to the real path per RFC 3986 and serves the protected content An unauthenticated attacker can exploit this against any backend that performs dot-segment normalization. This issue has been patched in versions 2.11.43, 3.6.14, and 3.7.0-rc.2.
Traefik's StripPrefixRegex middleware contains an authentication bypass vulnerability when combined with ForwardAuth, BasicAuth, or DigestAuth. Attackers can exploit dot-segment path normalization to bypass authentication and access protected resources without credentials.
تحتوي ثغرة في Traefik على عيب في معالجة المسارات المشفرة بنسبة مئوية عند استخدام StripPrefixRegex مع آليات المصادقة. عندما يظهر نقطة في جزء البادئة من عنوان URL، ينتج عن ذلك مقطع نقطي (مثل /./admin/secret) يتجاوز فحوصات المصادقة. يقوم الخادم الخلفي بعد ذلك بتطبيع المسار إلى المسار الفعلي، مما يسمح بالوصول غير المصرح به.
ثغرة في برنامج Traefik تسمح بتجاوز المصادقة عند استخدام StripPrefixRegex مع ForwardAuth أو BasicAuth أو DigestAuth. يمكن للمهاجمين استخدام تطبيع المسارات لتجاوز الحماية والوصول إلى الموارد المحمية.
Upgrade Traefik immediately to version 2.11.43, 3.6.14, or 3.7.0-rc.2 or later. Review and test all ForwardAuth, BasicAuth, and DigestAuth configurations with StripPrefixRegex middleware. Implement additional path validation at the backend application level to prevent dot-segment exploitation.
قم بترقية Traefik فوراً إلى الإصدار 2.11.43 أو 3.6.14 أو 3.7.0-rc.2 أو أحدث. راجع واختبر جميع تكوينات ForwardAuth و BasicAuth و DigestAuth مع StripPrefixRegex. طبق التحقق الإضافي من المسارات على مستوى التطبيق الخلفي.