PT-2026-36184 · Traefik · Traefik
Kodareef5
·
Publicado
2026-04-24
·
Atualizado
2026-05-05
·
CVE-2026-41263
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Traefik versões anteriores a 2.11.43
Traefik versões anteriores a 3.6.14
Traefik versões anteriores a 3.7.0-rc.2
Descrição
Um problema de canal lateral de tempo existe no middleware BasicAuth. Uma variável destinada a fornecer um segredo de fallback de tempo constante resolve-se consistentemente para uma string vazia, o que faz com que a comparação de tempo constante seja interrompida rapidamente em vez de realizar uma avaliação bcrypt completa. Isso cria um oráculo de tempo, permitindo que um invasor enumere nomes de usuário válidos medindo as diferenças nos tempos de resposta de autenticação.
Recomendações
Atualizar para a versão 2.11.43
Atualizar para a versão 3.6.14
Atualizar para a versão 3.7.0-rc.2
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Traefik