製品・ソフトウェアに関する情報

JVN脆弱性詳細

traefikにおける複数の脆弱性

Title	traefikにおける複数の脆弱性
Summary	TraefikはHTTPリバースプロキシ兼ロードバランサーです。バージョン3.7.0-ea.1から3.7.5までの間、TraefikのKubernetes Ingress NGINXプロバイダーに中程度の深刻度の脆弱性が存在し、影響を受けるルートが認証なしで公開される問題がありました。Ingressがnginx.ingress.kubernetes.io/auth-typeおよびauth-secretアノテーションを通じてBasicAuthまたはDigestAuthを明示的に有効にしている場合でも、参照されるauth Secretが解決できなかったりパースできなかったりすると、Traefikは解決エラーをログに記録し、認証ミドルウェアのインストールをスキップしたうえでバックエンドサービスへのルーターを発行し続けます。そのため、本来オペレーターが保護するつもりだったルートが認証制御なしにデータプレーンに公開され、認証されていないアクセスがバックエンドに許可されてしまいます。この問題のトリガーは、意図的に保護されていないルートではなく、無効または未解決の認証依存関係、たとえば、欠落、形式不正、読み込み不可、またはポリシーによって拒否されたSecretによるものです。この脆弱性はバージョン3.7.5で修正されました。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 23, 2026, midnight
Registration Date	June 29, 2026, 11:11 a.m.
Last Update	June 29, 2026, 11:11 a.m.

CVSS3.0 : 重要
Score	8.6
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Affected System

traefik

traefik 3.7.0 以上 3.7.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-54762	https://www.cve.org/CVERecord?id=CVE-2026-54762
National Vulnerability Database (NVD)
2	CVE-2026-54762	https://nvd.nist.gov/vuln/detail/CVE-2026-54762

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-636	https://cwe.mitre.org/data/definitions/636.html
2	CWE-693	https://cwe.mitre.org/data/definitions/693.html

ベンダー情報

No	Name	URL
GitHub
1	Traefik Kubernetes Ingress NGINX provider fails open when auth-secret resolution fails Advisory traefik/traefik GitHub	https://github.com/traefik/traefik/security/advisories/GHSA-4mr2-fg2p-w63c

その他

No	Name	URL
関連文書
1	Release v3.7.5 traefik/traefik GitHub	https://github.com/traefik/traefik/releases/tag/v3.7.5

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:11 a.m.

NVD Vulnerability Information

CVE-2026-54762

Summary	Traefik is an HTTP reverse proxy and load balancer. From 3.7.0-ea.1 until 3.7.5, there is a medium severity vulnerability in Traefik's Kubernetes Ingress NGINX provider that causes affected routes to fail open. When an Ingress explicitly enables BasicAuth or DigestAuth through the supported nginx.ingress.kubernetes.io/auth-type and auth-secret annotations, but the referenced auth Secret cannot be resolved or parsed, Traefik logs the resolution error, skips installing the authentication middleware, and still emits a router to the backend service. A route that operators intended to protect is therefore published to the data plane without its authentication control, allowing unauthenticated access to the backend. The trigger is an invalid or unresolved auth dependency — a missing, malformed, unreadable, or policy-denied Secret — rather than an intentionally unprotected route. This vulnerability is fixed in 3.7.5.
Publication Date	June 24, 2026, 5:16 a.m.
Registration Date	June 27, 2026, 4:15 a.m.
Last Update	June 27, 2026, 1:37 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:traefik:traefik::::::::		3.7.0			3.7.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/traefik/traefik/releases/tag/v3.7.5	security-advisories@github.com
2	https://github.com/traefik/traefik/security/advisories/GHSA-4mr2-fg2p-w63c	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-693	保護メカニズムの不具合	https://cwe.mitre.org/data/definitions/693.html
2	CWE-636	安全でない失敗処理	https://cwe.mitre.org/data/definitions/636.html