製品・ソフトウェアに関する情報
traefikにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性
Title traefikにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性
Summary

TraefikはHTTPリバースプロキシおよびロードバランサーです。バージョン2.11.48、3.6.19、および3.7.3より前のバージョンには、認証されていない攻撃者がルートレベルの認証および認可を回避できる、TraefikのStripPrefixミドルウェアに高重大度の脆弱性があります。パスプレフィックスルールに基づいてパブリックルーターがマッチし、StripPrefixミドルウェアを適用すると、リクエストパスに「..」またはそのパーセントエンコード形式「%2e%2e」を含む場合、ルーティング時にパブリックルートにマッチします。その後プレフィックスが削除され、パスが正規化されると、別の認証済みルーターによって提供されるパスに解決されます。その結果、攻撃者は保護されたルーターに添付された認証ミドルウェアを満たすことなく、管理者や内部設定エンドポイントなどの保護されたバックエンドパスにアクセス可能になります。この脆弱性は2.11.48、3.6.19、および3.7.3で修正されています。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 23, 2026, midnight
Registration Date June 29, 2026, 11:16 a.m.
Last Update June 29, 2026, 11:16 a.m.
CVSS3.0 : 緊急
Score 10
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
Affected System
traefik
traefik 2.11.48 未満
traefik 3.0.0 以上 3.6.19 未満
traefik 3.7.0 以上 3.7.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載
June 29, 2026, 11:16 a.m.

NVD Vulnerability Information
CVE-2026-48020
Summary

Traefik is an HTTP reverse proxy and load balancer. Prior to 2.11.48, 3.6.19, and 3.7.3, there is a high severity vulnerability in Traefik's StripPrefix middleware that allows an unauthenticated attacker to bypass route-level authentication and authorization. When a public router matches on a PathPrefix rule and applies the StripPrefix middleware, a request path containing .. or its percent-encoded form %2e%2e can match the public route at routing time and then, after the prefix is stripped and the path is normalized, resolve to a path served by a separate, authenticated router. As a result, an attacker can reach protected backend paths — such as admin or internal configuration endpoints — without satisfying the authentication middleware attached to the protected router. This vulnerability is fixed in 2.11.48, 3.6.19, and 3.7.3.

Publication Date June 24, 2026, 5:16 a.m.
Registration Date June 27, 2026, 4:15 a.m.
Last Update June 27, 2026, 2:04 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* 2.11.48
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* 3.0.0 3.6.19
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* 3.7.0 3.7.3
Related information, measures and tools
Common Vulnerabilities List