CVE-2026-41263 in Traefikinfo

Zusammenfassung

von VulDB • 14.05.2026

Traefik ist ein HTTP-Reverse-Proxy und Load-Balancer. Vor den Versionen 2.11.43, 3.6.14 und 3.7.0-rc.2 besteht in der BasicAuth-Middleware von Traefik eine Timing-Side-Channel-Schwachstelle, die es einem Angreifer ermöglicht, gültige Benutzernamen durch Unterschiede in der Antwortzeit zu enumerieren. Die Variable, die dazu bestimmt ist, ein konstantes Fallback-Geheimnis zu speichern, wird immer als leerer String aufgelöst, wodurch der konstantzeitliche Vergleich in Mikrosekunden abgebrochen wird, anstatt eine vollständige bcrypt-Auswertung durchzuführen. Dies stellt den ursprünglichen Timing-Oracle wieder her und macht es möglich, existierende von nicht existierenden Benutzern zu unterscheiden, indem die Antwortzeiten der Authentifizierung gemessen werden. Dieses Problem wurde in den Versionen 2.11.43, 3.6.14 und 3.7.0-rc.2 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

01.05.2026

Moderieren

akzeptiert

Eintrag

VDB-359604

CPE

bereit

EPSS

0.00022

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41263
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41263
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41263/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!