Traefik is an HTTP reverse proxy and load balancer. Prior to versions 2.11.43, 3.6.14, and 3.7.0-rc.2, there is a potential vulnerability in Traefik's Kubernetes CRD provider cross-namespace isolation enforcement. When providers.kubernetesCRD.allowCrossNamespace=false, Traefik correctly rejects direct cross-namespace middleware references from IngressRoute objects, but fails to apply the same restriction to middleware references nested inside a Chain middleware's spec.chain.middlewares[]. An actor with permission to create or update Traefik CRDs in their own namespace can exploit this to cause Traefik to resolve and apply middleware objects from another namespace, bypassing the documented isolation boundary. This issue has been patched in versions 2.11.43, 3.6.14, and 3.7.0-rc.2.
Traefik's Kubernetes CRD provider has a cross-namespace isolation bypass vulnerability where middleware references nested in Chain objects are not properly restricted when allowCrossNamespace=false. An attacker with namespace-level CRD permissions can exploit this to access middleware from other namespaces, violating documented security boundaries.
يحتوي Traefik على ثغرة في مزود Kubernetes CRD حيث لا يتم تطبيق قيود عزل مساحة الأسماء بشكل صحيح على مراجع البرامج الوسيطة المتداخلة داخل كائنات Chain عندما يكون allowCrossNamespace=false. يمكن لمستخدم لديه أذونات لإنشاء أو تحديث CRDs في مساحة الأسماء الخاصة به استغلال هذا للوصول إلى البرامج الوسيطة من مساحات أسماء أخرى.
Traefik's Kubernetes CRD provider has a cross-namespace isolation bypass vulnerability where middleware references nested in Chain objects are not properly restricted when allowCrossNamespace=false. An attacker with namespace-level CRD permissions can exploit this to access middleware from other namespaces, violating documented security boundaries.
Upgrade Traefik to version 2.11.43, 3.6.14, or 3.7.0-rc.2 or later. Implement strict RBAC policies limiting CRD creation/modification permissions per namespace. Monitor and audit CRD modifications in Kubernetes clusters. Review existing IngressRoute and Chain middleware configurations for cross-namespace references.
قم بترقية Traefik إلى الإصدار 2.11.43 أو 3.6.14 أو 3.7.0-rc.2 أو أحدث. طبق سياسات RBAC صارمة تحد من أذونات إنشاء/تعديل CRD لكل مساحة اسم. راقب وتدقيق تعديلات CRD في مجموعات Kubernetes. راجع تكوينات IngressRoute و Chain middleware الموجودة للمراجع عبر مساحات الأسماء.