CVE-2026-25949

Nome do Software Vulnerável e Versões Afetadas Versões do Traefik anteriores à 3.6.8

Descrição O Traefik, um proxy reverso HTTP e balanceador de carga, apresenta uma falha na maneira como gerencia solicitações STARTTLS. Um cliente não autenticado pode contornar a configuração respondingTimeouts.readTimeout enviando um prelúdio SSLRequest (STARTTLS) do PostgreSQL de 8 bytes e, em seguida, estagnando a conexão. Isso faz com que as conexões permaneçam abertas indefinidamente, resultando em uma negação de serviço. A falha ocorre durante a detecção de protocolo antes do roteamento e é acessível em um entrypoint mesmo sem nenhum roteador Postgres/TCP configurado. Um atacante pode enviar o SSLRequest do PostgreSQL, receber uma resposta do Traefik e, em seguida, parar de enviar mais bytes, mantendo a conexão aberta além do tempo limite de leitura configurado. Isso consome descritores de arquivo e goroutines, podendo esgotar os recursos do sistema e tornar o proxy indisponível.

Recomendações Atualize para a versão 3.6.8 ou posterior do Traefik para resolver este problema.