CVE-2026-41263 in Traefikinformation

Résumé

par VulDB • 15/05/2026

Traefik est un proxy inverse HTTP et un équilibreur de charge. Avant les versions 2.11.43, 3.6.14 et 3.7.0-rc.2, le middleware BasicAuth de Traefik présente une vulnérabilité de canal auxiliaire par temporisation (timing side-channel) qui permet à un attaquant d'énumérer les noms d'utilisateur valides en se basant sur les différences de temps de réponse. La variable destinée à contenir un secret de repli à temps constant se résout toujours en une chaîne vide, ce qui provoque un court-circuit de la comparaison à temps constant en quelques microsecondes au lieu d'effectuer une évaluation complète de bcrypt. Cela restaure l'oracle de temporisation initial et permet de distinguer les utilisateurs existants des utilisateurs inexistants en mesurant les temps de réponse de l'authentification. Ce problème a été corrigé dans les versions 2.11.43, 3.6.14 et 3.7.0-rc.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgation

01/05/2026

Modérer

accepté

Entrée

VDB-359604

CPE

prêt

EPSS

0.00022

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41263
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41263
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41263/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!